6 bài học kinh nghiệm chống tấn công ATP

17/04/2014

Những bài học quí báu này của một chuyên gia bảo mật kỳ cựu có thể giúp bạn tránh được sự đe dọa của những mối nguy hiểm cao thường trực - Advanced Persistent Threat.

Những mối nguy hiểm cao thường trực (Advanced Persistent Threat - APT) gây nhiều chú ý trong thời gian gần đây vì tính chất cực kỳ nguy hiểm của chúng. Mỗi cuộc tấn công APT đều có chủ đích, tấn công bền bỉ vào doanh nghiệp, tổ chức cụ thể để đánh cắp dữ liệu quan trọng bằng mọi cách. Một cuộc tấn công APT thường được tiến hành bởi một tổ chức chuyên nghiệp có trụ sở nằm ngoài quốc gia của nạn nhân, do đó gây trở ngại cho cơ quan thực thi pháp luật. Các tổ chức tin tặc này thường chia thành các nhóm riêng, nhưng sẵn sàng phối hợp với nhau để đột nhập mạng và hệ thống của doanh nghiệp và đánh cắp các thông tin có giá trị ngay khi có thể. Đây là công việc thường ngày của chúng, và hầu hết đều rất có nghề.

 

Theo các chuyên gia, các APT có thể gây nguy hại cho hạ tầng thông tin của bất kỳ tổ chức nào. Tuy nhiên, vấn đề là không phải ai cũng nhận thức được điều đó. Với mục đích giúp mọi người hiểu hơn về hiểm họa từ những cuộc tấn công APT, bài viết chia sẻ 6 bài học kinh nghiệm rút ra từ thực tiễn nhiều năm hỗ trợ các công ty chống lại APT của chuyên gia bảo mật Roger A. Grimes, người có kinh nghiệm phòng chống tin tặc và phần mềm độc hại từ năm 1987. Hiện Roger làm tư vấn cho nhiều công ty có tên trong danh sách Fortune 100 và cả các công ty nhỏ. Ông đã viết nhiều sách về bảo mật máy tính.


Câu chuyện thứ 1:
Những con mắt APT luôn rình rập

Roger kể, có lần ông mất hơn một năm trời để đối phó một cuộc tấn công APT tại một công ty đa quốc gia mà liên quan đến đủ thứ, từ những vệ tinh công nghệ cao và súng ống cho tới tủ lạnh và đào tạo. 

Công ty cầu cứu Roger vào lúc đang bị đe dọa bởi hai cuộc tấn công APT đồng thời, và đó không phải là điều lạ. Theo kinh nghiệm của ông, nhiều công ty chỉ phát hiện ra bị tấn công APT sau nhiều năm, thậm chí có công ty bị ba nhóm APT xâm nhập trong tám năm trời mà không hề hay biết.

Nhận thức được mối đe dọa nghiêm trọng, công ty đã thành lập một đội đặc nhiệm lớn, không chỉ bộ phận IT mà gồm cả các chuyên gia liên quan khác. Roger cho biết, họ quyết định sẽ thiết lập lại toàn bộ mật khẩu trong vòng vài tháng. Việc chậm đổi mật khẩu có vẻ khó hiểu, nhưng theo ông, trong những tình huống như thế này, đổi mật khẩu ngay sẽ không có tác dụng nếu không chắc chắn ngăn được kẻ tấn công tiếp tục đột nhập vào hệ thống. Xác định toàn bộ những điểm yếu, khắc phục, rồi mới đổi mật khẩu. Đó là cách phòng thủ tốt nhất. 
Như những trường hợp tương tự ông đã trải qua, mọi người liên quan bắt buộc phải giữ bí mật. Các mật hiệu được thiết lập, do vậy đội có thể thảo luận về dự án bằng email mà không sợ đánh động những kẻ xâm nhập hay gây sự chú ý tới các nhân viên ngoài đội dự án. Ngày thiết lập lại toàn bộ mật khẩu được dự kiến trùng với cuộc thi đấu bóng chày trong năm của công ty, vốn được tổ chức hàng năm nhằm nâng cao tinh thần cho các nhân viên. Vì vậy, dự án mang tên “thi đấu bóng chày công ty” (tên công ty không nêu ra đây để bảo vệ danh tính). Từ thời điểm đó về sau, không ai đề cập đến APT hay đặt lại mật khẩu. Mọi người chỉ nói về giải bóng chày.    

Máy tính của công ty đã bị nhiễm hoàn toàn, vì vậy một số laptop và router không dây được mua mới. Toàn bộ công việc liên quan đến dự án được thực hiện trên những laptop mới mua này với một mạng không dây bảo mật để ngăn chặn mọi rủi ro rò rỉ thông tin về dự án, mặc dù đã sử dụng mật hiệu. Đội dự án chọn một trong số nhiều phòng họp của ban điều hành làm bản doanh và họ bắt đầu thảo luận những việc cần làm.

 

Điều đầu tiên đội dự án quan tâm là sự dư thừa quản trị viên domain. Có quá nhiều quản trị viên, tổng cộng tới hơn 1.000 người. Thật khó để xác định những quản trị viên domain nào thực sự cần thiết và ai nên loại bỏ, vì vậy đội dự án đi đến quyết định sẽ vô hiệu hóa tất cả vào ngày “thi đấu bóng chày công ty”, và  buộc những người thực sự cần truy cập với quyền quản trị domain phải xác nhận lại nhu cầu. Đội phác thảo một mẫu đơn (form) yêu cầu quyền truy cập quản trị domain trên một trong những laptop của dự án và để đấy, dự kiến sẽ gửi ngay trước ngày “thi đấu bóng chày công ty” để những ai cần tài khoản quản trị domain có được một bản trong thời gian chuẩn bị.

Thật ngạc nhiên là ngay đầu giờ sáng hôm sau giám đốc dự án cho biết vừa mới nhận được hai đơn yêu cầu quyền quản trị domain. Sai lầm của những kẻ gửi đơn yêu cầu quá dễ nhận ra bởi mẫu đơn của đội dự án chưa phải là bản chính thức và cũng chưa tới ngày gửi đi. Những đơn này có vài lỗi nhỏ nhưng đáng chú ý và cho thấy nó không xuất phát từ mẫu đơn phác thảo của đội dự án. Chúng được tạo ra bởi các thành viên thuộc một chi nhánh nước ngoài. Quá trình điều tra sau đấy cho thấy APT xuất phát từ kẻ nằm vùng đã xâm nhập toàn bộ các phòng họp sử dụng màn chiếu dữ liệu và các hệ thống họp video của ban điều hành. Chúng theo dõi và thu thập thông tin những cuộc họp được cho là bí mật. Sai lầm duy nhất của chúng ở đây là không hiểu rằng mẫu đơn chưa được chính thức thông qua và sẽ không được gửi đi trong vài tháng. May mắn là bất đồng ngôn ngữ đã làm lộ chân tướng của những kẻ xấu.

Bài học: Nếu thiết bị hội nghị được kết nối mạng và có khả năng thu âm hay ghi hình, hãy chắc chắn là chúng bị vô hiệu hóa trước khi cuộc họp diễn ra.


Câu chuyện thứ 2: 
Không phải mọi APT đều cao cấp như các chuyên gia nghĩ

Đây là câu chuyện về một nhóm APT đã dành được toàn quyền kiểm soát mạng của một công ty bằng cách sử dụng các công cụ vượt qua hash (PtH) để phá vỡ hash mật khẩu. Hash mật khẩu là phương thức bảo mật mật khẩu lưu trữ trong cơ sở dữ liệu dưới dạng mã hóa. Công ty quyết định đã tới lúc vô hiệu hóa những hash mật khẩu LM (LAN Manager) yếu mà Microsoft đã khuyến nghị vô hiệu hóa từ hơn 10 năm trước, và đã vô hiệu hóa mặc định từ năm 2008. APT trường hợp này đã sử dụng các hash mật khẩu LM chiếm được để lây nhiễm mạng.

Roger tìm mọi cách thuyết phục khách hàng kế hoạch này không có tác dụng vì, theo mặc định, có ít nhất hai loại hash mật khẩu Windows tồn tại trong các cơ sở dữ liệu xác thực Microsoft, đó là LM và NT (NT LAN Manager). Những kẻ tấn công đã tải về cả hai loại, và công cụ PtH chúng đang dùng có thể sử dụng một trong hai. Thậm chí ông còn chỉ cho khách hàng thấy công cụ của tin tặc chuyển đổi giữa các hash LM và NT ra sao, đây là một tính năng rất phổ biến của các công cụ tấn công PtH. Tệ hơn nữa, ngay cả khi việc lưu trữ các hash LM bị vô hiệu hóa, chúng vẫn được tạo trong bộ nhớ khi ai đó đăng nhập vào.
Dù vậy khách hàng vẫn tiến hành vô hiệu hóa các hash và thiết lập lại các mật khẩu. Các cơ sở dữ liệu cục bộ và Active Directory đều không chứa các hash mật khẩu LM khả dụng. Kết quả là các cuộc tấn công PtH chấm dứt. Điều đó cũng cho thấy nhóm APT thậm chí không hiểu rõ công cụ chúng sử dụng.

Bài học: Chữ “Advanced” có trong cụm từ APT,  nhưng không có nghĩa là mọi kẻ tấn công APT đều có nghề cao. Thêm nữa, các chuyên gia cũng có thể sai.

 

Câu chuyện thứ 3: 
Thuốc chữa bệnh có thể là thuốc độc 

Câu chuyện về một tổ chức vốn từng là khách hàng của một hãng bảo mật có uy tín về phòng chống APT. Hãng này cũng bán cả phần mềm phát hiện APT. Trước đây hãng bảo mật đã xử lý APT sau đó cài phần mềm của mình lên toàn bộ các máy của tổ chức này và không hề đụng tới trong gần một năm. Suốt thời gian đó khách hàng không phát hiện bất kỳ dấu hiệu nào về APT.

Roger đã dành vài ngày để giúp khách hàng triển khai một số bẫy dụ những kẻ tấn công xâm nhập, gọi là honeypot (tạm dịch: hũ mật ong). Ông giải thích, bẫy có thể dùng lại một máy tính, bộ định tuyến hoặc máy chủ lâu ngày không sử dụng. Khi tin tặc hay phần mềm độc hại kết nối, honeypot ngay lập tức sẽ gửi cảnh báo kích hoạt hệ thống phản ứng với sự cố. Thường thì bẫy sẽ phát huy hiệu quả ngay trong một hai ngày đầu.
Trong trường hợp này, ông cho biết đã phát hiện những nỗ lực đăng nhập mạng từ nhiều máy trạm, tất cả đều không có lý do đăng nhập chính đáng. Một số máy trạm này được tách ra để kiểm tra ổ cứng của chúng. Hóa ra APT đã cài một Trojan truy cập từ xa vào mỗi máy. Tên của Trojan giống phần mềm phát hiện APT. Ai đó đã thay phần mềm chống APT hợp pháp bằng một Trojan trên hầu hết các máy. Đó là lý do vì sao không có APT nào bị phát hiện. Hóa ra phần mềm phát hiện APT của khách hàng bị nhiễm Trojan này trong quá trình tạo đĩa cài.

Bài học: Trước hết, kiểm chứng tính toàn vẹn của bản cài đặt, ngăn ngừa việc sửa đổi trái phép hay sáng tạo ra một số cách để phát hiện điều đó. Thứ hai, honeypot là một cách tuyệt vời để phát hiện phần mềm độc hại. Thứ ba, luôn tìm kiếm và xem xét các kết nối mạng bất thường từ những nơi không mong muốn.

Câu chuyện thứ 4: 
Máy chủ PKI hại chủ

Những năm trước, việc APT tấn công vào các máy chủ hạ tầng khóa công khai (Public Key Infrastructure – PKI) hiếm khi xảy ra, nhưng giờ đây đã khá phổ biến. Câu chuyện sau đây xảy ra với một công ty đặt máy chủ PKI trong khu vực an ninh.
Các máy chủ PKI nội bộ công ty trong trường hợp này được dùng để tạo ra thẻ thông minh cho nhân viên. Những thẻ thông minh này không chỉ được nhân viên sử dụng để đăng nhập máy tính mà còn để mở cửa vào các tòa nhà của công ty và sử dụng cơ sở hạ tầng khác.

Máy chủ xác thực (Certification Authority – CA) của công ty là một máy ảo, đã bị vô hiệu hóa, trên một máy chủ lưu trữ VMware. Những kẻ xấu phát hiện ra nó, sao chép ra ngoài, phá mật khẩu quản trị (yếu) cục bộ, và tạo ra CA cấp dưới ủy quyền. Chúng sử dụng CA này để cấp phép truy cập PKI cho chính chúng tất cả những thứ mà chúng có thể.
Roger cho biết đã rất ngạc nhiên khi thấy trong một đoạn video từ camera giám sát có hai người đàn ông lạ mặt đã sử dụng thẻ thông minh giả mạo tự tạo, đi vào tòa nhà qua lối vào của nhân viên, và lên tầng lầu nơi lưu trữ dữ liệu nhạy cảm. Ông đã xây dựng lại hệ thống PKI an toàn hơn cho công ty.

Bài học: Hãy bảo vệ các máy chủ PKI CA. Máy chủ CA không cần nối mạng thì nên tách hẳn khỏi mạng, để ở nơi an toàn, thay vì vô hiệu hóa hay đặt trên mạng với những card mạng của chúng bị vô hiệu hóa. Các khóa riêng CA nên được bảo vệ bằng một thiết bị phần cứng (Hardware Storage Module), và mọi mật khẩu liên quan phải đặt thật dài (từ 15 ký tự trở lên) và phức tạp. Thêm nữa, phải đảm bảo việc giám sát những máy chủ CA trái phép khác thêm vào như những CA ủy quyền.

 

Câu chuyện thứ 5: 
Đừng quên bất kỳ tài khoản nào

Đổi mật khẩu là điều thường thấy trong nhiều trường hợp đối phó với các cuộc tấn công APT. Trong câu chuyện này, công ty nạn nhân đã chuẩn bị hết sức chu đáo, lên kế hoạch không chỉ thiếp lập lại toàn bộ tài khoản người dùng và dịch vụ, mà còn cả tài khoản máy tính. Hiếm có như vậy, đặc biệt khi nói đến thiết lập lại các tài khoản dịch vụ và máy tính. 
Nhưng chỉ sau vài ngày thiết lập mật khẩu mới, APT chiếm lại, lấy toàn bộ email, kiểm soát tất cả những tài khoản quyền cao, bao gồm các tài khoản bảo mật IT. Cứ như là việc thiết lập lại mật khẩu chưa từng xảy ra. Điều này khiến những người trong cuộc hoàn toàn bất ngờ vì những lỗ hổng nhận biết đã được khắc phục, nhân viên được hướng dẫn và không có bất kỳ dấu hiệu nào về Trojan mở cổng hậu.

Hóa ra có một tài khoản Windows tích hợp sẵn mang tên “krbtgt” được sử dụng để xác thực Kerberos. Chúng ta không thể đụng đến, xóa bỏ hay thay đổi mật khẩu của tài khoản này. Đó không phải là tài khoản người dùng thực sự mà hiện ra trong những công cụ quản lý tài khoản người dùng, và nhóm APT này biết vậy. Sau khi xâm nhập hệ thống, chúng thêm tài khoản krbtgt tới các nhóm cấp cao khác. Vì các khách hàng thường không để ý nó, kể cả khi thiết lập lại mật khẩu, nó có thể được khai thác như một tài khoản mở cửa hậu. Đây quả là chiêu hiểm của tin tặc.
Công ty bị tổn hại trong câu chuyện này đã thiết lập lại các mật khẩu của các tài khoản krbtgt và mọi thứ khác thêm một lần nữa. Và vấn đề đã được giải quyết. Việc thiết lập lại các tài khoản krbtgt gây ra những phiền phức xác thực nhất định. Nhưng đó là điều phải làm.

Bài học: Nếu bạn thiết lập lại toàn bộ tài khoản, phải chắc chắn bạn biết “toàn bộ” nghĩa là gì.

Câu chuyện thứ 6: 
Thông tin quá tải cũng khuyến khích sáng tạo APT

Câu chuyện cuối cùng không phải là về một công ty cụ thể, và nó cho thấy quá trình phát triển APT trong những năm qua. Giới hành nghề APT hồi đầu thu thập ngay mọi thứ có thể sau khi xâm nhập thành công vào một tổ chức. Chúng sao chép mọi email hiện có và cài chương trình tự động “tóm” mọi email mới gửi. Nhiều khi còn cài Trojan để theo dõi mạng và cơ sở dữ liệu, và sao chép những nội dung mới được tạo ra. Mặt khác, nhiều công ty sử dụng dịch vụ sao chép trực tuyến nên chúng không hề tốn tiền.

 

Những ngày đó đã qua lâu rồi. Trong thế giới ngày nay, cơ sở dữ liệu lên tới hàng terabyte đã là chuyện bình thường thì APT gặp một vấn đề. Khi chúng có toàn quyền truy cập một mạng và biết nơi toàn bộ thông tin được lưu trữ, chúng phải lựa chọn nhiều hơn. Trước đây chúng thường lấy mọi thứ, nhưng bây giờ có lựa chọn rõ ràng. Giờ đây APT cao cấp hơn nhiều, tích hợp cả máy tìm kiếm, đôi khi với những hàm API của chính chúng hay vay mượn API của những máy tìm kiếm nổi tiếng khác để tìm dữ liệu cụ thể. Chúng có lẽ vẫn lấy vài gigabyte dữ liệu mỗi ngày, nhưng những gì chúng lấy mang tính chọn lọc cao.

Bài học: APT có cùng vấn đề tìm kiếm và quản lý dữ liệu như bạn. Đừng để chúng lập chỉ mục dữ liệu tốt hơn bạn.

                                                                                                                         Theo PC World VN.