Tài liệu Phương pháp phân tích mã độc tấn công apt

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------- TRẦN QUỐC PHƯƠNG PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2019 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------- TRẦN QUỐC PHƯƠNG PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT Chuyên ngành: Hệ thống thông tin Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) Người hướng dẫn khoa học: TS. Đỗ Xuân Chợ HÀ NỘI – 2019 i LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết quả nêu trong Luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác. Tác giả Trần Quốc Phương ii LỜI CẢM ƠN Sau hơn 6 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện Luận văn về nội dung “ Phương pháp phân tích mã độc tấn công APT” đã hoàn thành. Ngoài sự nỗ lực của bản thân, tôi đã nhận được rất nhiều sự quan tâm, giúp đỡ từ phía nhà trường, cán bộ hướng dẫn, các thầy cô, gia đình, bạn bè trong khoa và tại cơ quan làm việc. Chính điều này đã mang lại cho tôi sự động viên rất lớn để tôi có thể hoàn thành tốt bài luận văn của mình. Trước hết tôi xin gửi lời cảm ơn chân thành đến các thầy cô trường Học viện Bưu chính Viễn thông nói chung, các thầy cô Phòng sau đại học và Khoa Công nghệ thông tin nói riêng, đã truyền đạt những kiến thức quý báu cho tôi trong suốt quá trình học tập. Đặc biệt, trong quá trình làm đề tài luận văn tôi xin gửi lời cảm ơn sâu sắc tới TS Đỗ Xuân Chợ (Giảng viên – Học viện Bưu chính Viễn thông) người đã tận tình định hướng, hướng dẫn tôi hoàn thành luận văn tốt nghiệp này. Do thời gian, trang thiết bị và kiến thức còn hạn chế. Tôi rất mong nhận được sự góp ý từ phía thầy cô, để luận văn hoàn thiện hơn. Xin chân thành cảm ơn! Tác giả Trần Quốc Phương iii MỤC LỤC LỜI CAM ĐOAN .................................................................................................... i LỜI CẢM ƠN ......................................................................................................... ii MỤC LỤC ............................................................................................................. iii DANH MỤC HÌNH ............................................................................................... vi DANH MỤC CÁC TỪ VIẾT TẮT ....................................................................... ix LỜI MỞ ĐẦU ..........................................................................................................1 CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG ...................................................................................................................3 1.1. Tổng quan về APT ........................................................................................3 1.1.1. Khái niệm về APT ..................................................................................3 1.1.2. Các đặc điểm chính của APT ..................................................................3 1.2. Kỹ thuật tấn công APT ..................................................................................4 1.2.1. Giai đoạn 1: Reconnaissance (do thám thông tin) ..................................4 1.2.2. Giai đoạn 2: Gaining Access/Exploitation (truy nhập/xâm nhập) ..........5 1.2.3. Giai đoạn 3 và 4: Internal Recon and Expand Access (thăm dò trong mạng nội bộ và mở rộng truy nhập) ..................................................................5 1.2.4. Giai đoạn 5 và 6: Gathering and Extracting Data (thu thập và đánh cắp dữ liệu): .............................................................................................................6 1.2.5. Giai đoạn 7 và 8: Command & Control and Erasing Tracks (duy trì kết nối tới máy chủ điều khiển bên ngoài và xóa dấu vết) .....................................6 1.3 . Tấn công APT tại Việt Nam và trên Thế giới ..............................................6 1.4. Tổng quan các phương pháp phát hiện và phòng chống tấn công APT ........7 1.4.1. Giám sát giai đoạn Reconnaissance ........................................................9 1.4.2. Giám sát giai đoạn Exploitation ..............................................................9 iv 1.4.3. Giám sát giai đoạn Internal Recon ..........................................................9 1.4.4. Gıám sát giai đoạn Expand Access .......................................................10 1.4.5. Giám sát giai đoạn Gathering Data .......................................................10 1.4.6. Gıám sát giai đoạn Data Exflitration ....................................................11 1.4.7. Giám sát giai đoạn Command & Control .............................................12 1.4.8. Giám sát giai đoạn Erasing Tracks .......................................................13 CHƯƠNG 2. CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT ...............................................................................................................................15 2.1 Phương pháp phân tích mã độc thủ công .....................................................15 2.1.1. Giới thiệu về phân tích tĩnh...................................................................15 2.1.2. Yêu cầu hệ thống phân tích ...................................................................16 2.1.3. Xậy dựng môi trường ............................................................................16 2.1.4. Thực hiện phương pháp ........................................................................17 2.2. Sử dụng các hệ thống tự động phân tích hành vi của mã độc APT ............18 2.2.1. Công nghệ Sandbox ..............................................................................19 2.2.2. Các mục tiêu của một hệ thống phân tích tự động (Sandbox) ..............20 2.2.3. Những thông tin Sandbox thu thập .......................................................20 2.3. Phương pháp phân tích hành vi mã độc thông qua dòng dữ liệu (network traffic analysis) ...................................................................................................26 2.3.1. Thu thập dòng dữ liệu mạng .................................................................26 2.3.2. Phương pháp phân tích mã độc thông qua phân tích dòng dữ liệu mạng .........................................................................................................................28 2.4. Kỹ thuật phân tích mã độc APT .....................................................................30 2.4.1. Nhận diện hệ thống bị nhiễm mã độc ...................................................30 v 2.4.2. Xác định nguồn lây nhiễm ....................................................................31 2.4.3. Thu thập mẫu mã độc ............................................................................32 2.4.4. Phân tích thông tin sơ lược ...................................................................33 2.4.5. Phân tích hoạt động ...............................................................................35 2.4.6. Phân tích tĩnh ........................................................................................35 2.4.7. Viết báo cáo tổng kết hành vi hoạt động mã độc ..................................36 2.5 Kết luận chương 2 ........................................................................................36 CHƯƠNG 3. THỰC NGHIỆM VÀ ĐÁNH GIÁ .....................................................37 3.1. Giới thiệu về công cụ hỗ trợ thực nghiệm ...................................................37 3.2. Phân tích mã độc APT .................................................................................39 3.2.1 Thực nghiệm phân tích động .....................................................................39 3.2.2 Thực nghiệm phân tích tĩnh .......................................................................46 3.2.3 Giám sát đường truyền ..............................................................................55 3.3. Kết luận chương 3 .......................................................................................57 KẾT LUẬN ...............................................................................................................58 TÀI LIỆU THAM KHẢO .....................................................................................60 vi DANH MỤC HÌNH Hình 1-1: Các giai đoạn trong tấn công APT..............................................................4 Hình 1-2: Khung hệ thống phát hiện tấn công APT ...................................................8 Hình 2-1: Công cụ CFF Explorer ..............................................................................17 Hình 2-2: Công cụ OllyDbg ......................................................................................18 Hình 2-3: Công cụ IDA .............................................................................................18 Hình 2-4:Thông tin chi tiết về file mã độc ................................................................22 Hình 2-5: Thông tin về Signature..............................................................................22 Hình 2-6: Thông tin chụp màn hình chạy mã thực thi ..............................................23 Hình 2-7: Thông tin về files ......................................................................................23 Hình 2-8: Thông tin về Registry ...............................................................................24 Hình 2-9: Thông tin về Mutexes ...............................................................................24 Hình 2-10: Các thông tin về Static Analysis .............................................................24 Hình 2-11: Thông tin về String .................................................................................25 Hình 2-13; Các thông tin về phân tích hành vi .........................................................25 Hình 2-14: Mã độc thực hiện kết nối ra ngoài ..........................................................26 Hình 2-15: Các điểm cần giám sát trên hệ thống mạng ............................................27 Hình 2-16: Mô hình tích hợp các điểm giám sát .......................................................28 Hình 2-17: Cấu hình Rule phát hiện tấn công ...........................................................29 Hình 2.18. Quy trình phân tích mã độc APT ............................................................30 Hình:2.18. Quy trình phân tích sơ lược.....................................................................34 Hình 3.1. Giao diện VMware Workstation 10 ..........................................................37 Hình 3.2. Số lần mã độc thực thi lấy tên thiết bị.......................................................40 Hình 3.3. Số lần thực thi/unpack của mã độc ...........................................................40 Hình 3.4. Danh sách địa chỉ IP ..................................................................................41 Hình 3.5. Một số cổng kết nối ...................................................................................41 Hình 3.6. Một số cổng kết nối UDP ..........................................................................42 Hình 3.7. Data gửi phản hồi từ Server ......................................................................42 Hình 3.8. Thông báo về kết nối với URL .................................................................43 vii Hình 3.9. Kết nối đến địa chỉ msftncsi của Microsoft ..............................................43 Hình 3.10. Kết nối thất bại đến các IP và Port ..........................................................43 Hình 3.11. Kết nối thất bại đến mã độc đến máy chủ điều khiển .............................44 Hình 3.12. Ping đến từng IP ......................................................................................44 Hình 3.13. Thông tin IOC của mã độc APT .............................................................46 Hình 3.14. Kết quả phân tích hành vi mã độc ...........................................................48 Hình 3.15. Kết quả phân tích Command line console output ...................................48 Hình 3.16. Tệp thực thi của mã độc ..........................................................................48 Hình 3.17. Các kết quả các phần mềm chống mã độc đã phát hiện..........................49 Hình 3.18. Kết quả phân tích bằng Yara ...................................................................50 Hình 3.19. Kết quả phân tích hàm IsDebuggerPresent .............................................50 Hình 3.20. Hàm khởi động của mã độc ....................................................................51 Hình 3.21. Danh sách String mà OllyDBG có thể đọc được ....................................51 Hình 3.22. Danh sách tiến trình trên máy nạn nhân ..................................................52 Hình 3.24. Các API đáng ngờ đã được gọi ...............................................................53 Hình 3.25. Các API của các thư viện windows.........................................................53 Hình 3.26. Hàm nhận diện debugger ........................................................................54 Hình 3.27. Registry change .......................................................................................54 viii DANH MỤC BẢNG Bảng 3.1. Danh sách các API mã độc thực thi ..........................................................45 Bảng 3.2. Kết quả trả về thông tin của mã độc .........................................................47 Bảng 3.3. Danh sách thuộc tính của Pcap .................................................................55 ix DANH MỤC CÁC TỪ VIẾT TẮT AD Active Directory ANTT An ninh thông tin APT Advanced Persistent Threat C&C Command and Control CD Compact Disc CSDL Cở sở dữ liệu DC Domain Controller DDoS Distributed Denied of Service DLP Data Loss Prevention DNS Domain Name System FTP File Transfer Protocol HIDS Host-based Intrusion Detection System HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IP Internet Protocol IPS Intrusion Prevention System IRC Internet Relay Chat JPEG Joint Photographic Experts Group NIDS Network-based Intrusion Detection System PAM Priviledge Account Management SIEM Security Information and Event Management SMTP Simple Mail Transfer Protocol SSH Secure Shell SSL Secure Socket Layer TCP Tranmission Control Protocol USB Univeral Serial Bus WAF Web Application Firewall 1 LỜI MỞ ĐẦU Trong thời đại hiện nay vấn đề tấn công mạng đang trở thành vấn nạn trên toàn thế giới. Các phương pháp tấn công của tội phạm mạng dần trở nên đa dạng và vô cùng tinh vi, mục tiêu và động cơ của các cuộc tấn công mạng cũng dần thay đổi, những cuộc tấn công lớn diễn ra phần lớn với mục đích về lợi ích kinh tế, chính trị do các nhóm hoặc các tổ chức thực hiện. Trong những năm vừa qua xuất hiện một loại hình tấn công mới vô cùng nguy hiểm đối với các hệ thống công nghệ được gọi là APT – Advanced Persistent Threats, hay còn gọi là “tấn công có chủ đích”. APT thường được thực hiện bởi các nhóm, các tổ chức tội phạm lớn và có trình độ cao, mục tiêu của chúng nhắm vào là các cơ quan, tổ chức nhà nước, hoặc các doanh nghiệp tài chính lớn. Để thực hiện được một cuộc tấn công APT kẻ tấn công thường phải đầu tư rất nhiều thời gian thăm dò, theo dõi và phân tích đối tượng rất kỹ, rất chi tiết, ngay cả khi thực hiện các công đoạn khai thác tấn công cũng rất rời rạc tinh vi, thời gian tấn công có thể kéo dài lên tới hàng năm. Bởi vì vậy các hệ thống và phương pháp bảo vệ cổ điển, thông thường hầu như không thể phát hiện được các tấn công APT này (hoặc chỉ phát hiện được một vài phần nhỏ), hậu quả của các cuộc tấn công APT thường rất nặng về mặt kinh tế, chính trị hoặc uy tín, hình ảnh của các tổ chức doanh nghiệp. Xuất phát từ thực tế và tính cấp thiết của vấn đề trên, tôi đã chọn đề tài “ Phương pháp phân tích mã độc tấn công APT” để góp phần nâng cao khả năng phát hiện và phòng chống APT. Luận văn đề cập đến việc nghiên cứu trên cơ sở là các phương pháp phân tích mã độc nhằm phát hiện các cách thức lây nhiễm và các hành vi của mã độc APT sau khi lây nhiễm để góp phần nâng cao khả năng phát hiện và phòng chống APT. Bố cục luận văn được chia làm 3 chương: Chương I: Đề cập đến vấn đề tổng quan về tấn công APT ở Việt Nam và trên toàn thế giới. Nêu rõ thế nào là một cuộc tấn công APT, các đặc điểm của 2 một cuộc tấn công APT là gì. Phân tích các giai đoạn trong một cuộc tấn công APT vào hệ thống mạng của doanh nghiệp, tổ chức và cuối cùng là các phương pháp giám sát phát hiện tấn công APT qua từng giai đoạn này. Chương II: Tập trung phân tích các biện pháp kỹ thuật phân tích mã độc tấn công APT phổ biến như là phân tích mã độc thủ công, phân tích mã độc tự động và phân tích dòng dữ liệu mạng. Chương III: Đề cập tới mô hình hệ thống mạng truyền thống với những yếu điểm về mặt đảm bảo ANTT, từ đấy nghiên cứu đề xuất mô hình cải tiến bổ sung các giải pháp, công nghệ để nâng cao an toàn, đảm bảo phát hiện sớm các cuộc tấn công nhằm vào hệ thống. Nghiên cứu công nghệ mã nguồn mở 11 Security Onion để thử nghiệm và tích hợp vào hệ thống. Thử nghiệm một cuộc tấn công APT và cách thức phát hiện điều tra truy vết. 3 CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG 1.1. Tổng quan về APT 1.1.1. Khái niệm về APT Tấn công APT được gọi là tấn công có chủ đích viết tắt của Advanced Persistent Threat, được sử dụng để miêu tả một cuộc tấn công dai dẳng nhằm vào một hệ thống nhất định. APT thường tấn công âm thầm và rất nguy hiểm. - Advanced (nâng cao): Để ám chỉ rằng kẻ tấn công sử dụng các kỹ thuật nâng cao nhất có thể để tấn công vào hệ thống đích một cách bài bản, sử dụng kết hợp nhiều kỹ thuật khác nhau một cách khoa học. Tính Advanced thể hiện ở khả năng khai thác hệ thống, khả năng ẩn mình, thay đổi liên tục làm cho việc phát hiện trở nên rất khó khăn. - Persistent (dai dẳng): Kẻ tấn công thường xác định cụ thể mục tiêu khai thác với động cơ rất rõ ràng, ẩn mình và khai thác theo từng giai đoạn trong thời gian dài cho đến khi thành công. - Threat (mối đe dọa): APT là một mối đe dọa về ANTT cực kỳ lớn bởi vì động cơ và chủ đích của kẻ tấn công thường rất rõ ràng và có thể mang các yếu tố chính trị, kinh tế,... thường được thực hiện bởi các tổ chức tội phạm chuyên nghiệp có bài bàn, trình độ cao và nguồn tài trợ dồi dào. 1.1.2. Các đặc điểm chính của APT Tấn công APT có các đặc điểm chính sau: - Targeted (mục tiêu): Kẻ tấn công xác định một cách chính xác mục tiêu cụ thể để tấn công và khai thác tới những tổ chức, những cá nhân, những quốc gia cụ thể. - Persistent (dai dẵng): Quá trình tấn công APT được chia ra thành nhiều giai đoạn khác nhau trong một thời gian dài. Sử dụng nhiều các kỹ thuật, phương pháp khác nhau để tấn công vào mục tiêu cho đến khi thành công. 4 - Evasive (ẩn mình): Tấn công APT được thiết kế để có thể qua mặt được hầu hết các giải pháp đảm bảo an toàn thông tin (ATTT) truyền thống như Firewall, IDS, Antivirus,.... Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của các IDS thì kẻ tấn công thực hiện mã hóa dữ liệu hoặc chèn vào các giao thức mạng thông thường hay được sử dụng. - Complex (phức tạp): APT phối kết hợp nhiều các kỹ thuật khác nhau một cách khoa học và bài bản nhằm những mục tiêu là lỗ hổng bảo mật trong các hệ thống. Các công cụ cho tấn công APT được sử dụng rất nhiều loại khác nhau. 1.2. Kỹ thuật tấn công APT Tấn công APT thường được chia chi tiết thành 8 giai đoạn (có thể 6, hoặc 7 giai đoạn tùy vào cách phân tích), bao gồm đầy đủ các giai đoạn của một cuộc tấn công thông thường và thêm các bước đặc thù của loại tấn công này. Hình 1-1: Các giai đoạn trong tấn công APT 1.2.1. Giai đoạn 1: Reconnaissance (do thám thông tin) Đây là giai đoạn đầu tiên kẻ tấn công thực hiện do thám mục tiêu, thu thập các thông tin liên quan đến hệ thống đích như các website public, tên, địa 5 chỉ Email, các thông tin đăng ký DNS, các thông tin về người dùng liên quan trên mạng xã hội,.. Mục đích chính là thu thập càng nhiều thông tin liên quan đến mục tiêu càng tốt, để từ đấy chắt lọc thông tin, tìm ra các điểm yêú có thể khai thác tấn công. 1.2.2. Giai đoạn 2: Gaining Access/Exploitation (truy nhập/xâm nhập) Sau bước do thám thu thập thông tin, kẻ tấn công dựa trên những thông tin chắt lọc về hệ thống, đặc biệt là các thông tin về người dùng trong hệ thống thu thập được trên mạng, kẻ tấn công thực hiện tấn công vào người dùng thông thường bằng cách gửi Email có chứa đường link tới website độc hại, ở giai đoạn này kẻ tấn công có rất nhiều hình thức để có thể tấn công vào người dùng, có thể gửi file đính kèm mã độc, có thể sử dụng lỗ hổng 0-day,... mục đích là để người dùng trong hệ thống click vào file độc hại hoặc truy nhập theo đường link vào website độc hại để có thể đánh cắp thông tin xác thực, chiếm quyền điều khiển máy trạm của người dùng. Ngoài ra còn một số kỹ thuật tấn công khác mà kẻ tấn công thường dùng trong giai đoạn này như: tấn công vào websites, khai thác các lỗ hổng bảo mật của hệ thống, sử dụng các thiết bị cắm ngoài như USB có chứa mã độc. 1.2.3. Giai đoạn 3 và 4: Internal Recon and Expand Access (thăm dò trong mạng nội bộ và mở rộng truy nhập) Sau khi chiếm đoạt được máy trạm của người dùng kẻ tấn công sẽ thực hiện do thám các thông tin trong hệ thống từ máy trạm này, kẻ tấn công thường sử dụng các công cụ rà quét mạng, giám sát các kết nối từ máy trạm lên hệ thống máy chủ, cố gắng tìm kiếm con đường có thể mở rộng tấn công từ máy trạm lên các hệ thống máy chủ quan trọng (thông thường nếu có AD kẻ tấn công sẽ nhắm vào hệ thống này). 6 1.2.4. Giai đoạn 5 và 6: Gathering and Extracting Data (thu thập và đánh cắp dữ liệu): Sau khi truy nhập được vào các hệ thống máy chủ quan trọng, kẻ tấn công sẽ thực hiện tìm kiếm và thu thập các dữ liệu quan trọng, nhạy cảm trên hệ thống đích và thực hiện gửi dữ liệu ra ngoài, ở bước này hành động gửi dữ liệu ra ngoài của kẻ tấn công thường được thực hiện chậm dãi, và chia làm nhiều giai đoạn, các phương thức gửi ra ngoài gần như là các kết nối thông thường rất khó để phát hiện ra. 1.2.5. Giai đoạn 7 và 8: Command & Control and Erasing Tracks (duy trì kết nối tới máy chủ điều khiển bên ngoài và xóa dấu vết) Ở hai gia đoạn cuối này sau khi đã đánh cắp thông tin, dữ liệu gửi ra ngoài, kẻ tấn công tiếp tục sử dụng các mã độc backdoor duy trì các kết nối ra máy chủ điều khiển bên ngoài để trao đổi thông tin và nhận các mã lệnh điều khiển từ xa, đồng thời thực hiện xóa các dấu vết, các log của kẻ tấn công để lại trên hệ thống, ẩn các tiến trình hoặc hợp thức hóa nó để lẩn tránh làm cho việc phát hiện dò tìm khó khăn hơn. Trên đây là tổng quát về các giai đoạn tấn công trong một cuộc tấn công APT, trong mỗi giai đoạn kẻ tấn công có thể sử dụng nhiều phương pháp kỹ thuật khác nhau để đạt được mục đích, ngoài ra một đặc điểm nổi bật của tấn công APT đấy là thời gian thực hiện ở mỗi giai đoạn thường lâu, có thể tình bằng tháng, hoặc hàng năm. 1.3 . Tấn công APT tại Việt Nam và trên Thế giới Trong vài năm trở lại đây đã có nhiều cuộc tấn công APT diễn ra trên thế giới và cả ở Việt Nam. Đặc biệt trong năm 2016-2017 đã diễn ra nhiều cuộc tấn công APT lớn, hậu quả để lại của các cuộc tấn công này là rất nặng nề, các tổ chức bị tấn công không có khả năng phát hiện và xử lý kịp thời các tấn công này. Các cuộc tấn công APT điển hình trong năm 2016-2017 như: 7 - 2/2016 Tấn công mã độc vào 9 Ngân hàng ở Nga gây thiệt hại hơn 1 tỷ dolla. - 3/2016 Tấn công APT vào hệ thống SWIFT của Ngân hàng trung ương Bangladesh gây thiệt hại 80 triệu dolla. - 4/2016 Tấn công vào Panama paper gây thất thoát 2.6 Terabyte dữ liệu nhạy cảm. - 5/2016 Tấn công APT vào hệ thống SWIFT của Ngân hàng Tiên Phong Bank. - 7/2016 Tấn công APT vào hệ thống mạng Vietnam Arilines chiếm quyền điều khiển các bảng, màn hình thông báo thông tin chuyến bay... - 5/2017 Cuộc tấn công APT32 được cho là nhằm vào các tổ chức doanh nghiệp nước ngoài liên doanh tại Việt Nam, và một số các cơ quan, tổ chức, doanh nghiệp lớn ở Việt Nam. - 8/2017 Một chiến dịch tấn công APT lớn nhằm vào các tổ chức ban nghành, các công ty viễn thông, tập đoàn tài chính ở Việt Nam, có nhiều đặc điểm liên quan tới cuộc tấn công APT32 mấy tháng trước, và các cuộc APT nhằm vào Việt Nam trước kia. 1.4. Tổng quan các phương pháp phát hiện và phòng chống tấn công APT Tấn công APT thường là một chuỗi các tấn công nhỏ lẻ kết hợp với nhau trong thời gian dài, vì vậy không có phương pháp cụ thể nào có thể chuyên dụng cho việc phát hiện hoàn toàn các cuộc tấn công APT. Để phát hiện và phòng chống tấn công APT hiệu quả cần phải thiết kế một hệ thống chuyên biệt cho việc giám sát phát hiện, hệ thống này được xây dựng dựa trên cơ chế xoay quanh các vấn đề sau: 8 Hình 1-2: Khung hệ thống phát hiện tấn công APT - What (Cái gì): Các bước tấn công là gì? Các phương pháp tấn công là gì? Các kỹ thuật, tính năng tấn công là gì? - Where (Ở đâu): Cần phải thực hiện thiết lập giám sát, phát hiện ở những khu vực, phân vùng mạng nào? - How (Như thế nào): Các phương pháp phát hiện, giám sát như thế nào? Các phương pháp phân tích sự kiện thế nào? - Why (Tại sao): Tại sao lại ảnh hưởng tới khía cạnh kinh doanh? Thực hiện giám sát, phân tích và cố gắng phát hiện theo từng giai đoạn tấn công. Cụ thể ở mỗi giai đoạn tấn công, kẻ tấn công có thể sử dụng nhiều công cụ và kỹ thuật khác nhau, nhưng mục đích cuối cùng vẫn là nhằm đạt được kết quả theo đúng trình tự các giai đoạn đã biết. Vì vậy việc thiết lập các hệ thống để thu thập thông tin và giám sát theo từng giai đoạn của tấn công là biện pháp hữu hiệu nhất cho việc phát hiện và phòng chống tấn công APT. Với mỗi một giai đoạn tấn công tương ứng cần phải xác định ba yếu tố sau để giám sát và phòng chống: - Detection Location (Khu vực cần thiết lập giám sát) 9 - Detection Methods (Các phương pháp giám sát, phát hiện) - Analysis Methods (Các phương pháp phân tích) 1.4.1. Giám sát giai đoạn Reconnaissance Đây là giai đoạn khởi đầu của tấn công APT, kẻ tấn công sẽ thực hiện thăm dò hệ thống từ bên ngoài, rất ít để lại dấu hiệu gì trên hệ thống nên thường sẽ rất khó có thể phát hiện được dấu hiệu nào thể hiện rõ là khởi đầu của một cuộc tấn công APT. - Khu vực cần thiết lập giám sát: Khu vực DMZ, hệ thống mạng biên, hệ thống Remote Access và hệ thống Mobility, nếu có thể lưu ý thêm tới hệ thống mạng xã hội của tổ chức (nếu có). - Các phương pháp giám sát/phát hiện: Phân tích log của Firewall và máy chủ Web. - Các phương pháp phân tích: Phân tích phát hiện sự bất thường, nhận dạng theo các mẫu có trước, phân tích tính tương quan. 1.4.2. Giám sát giai đoạn Exploitation Ở giai đoạn này kẻ tấn công bắt đầu thực hiện các kỹ thuật để xâm nhập vào hệ thống, vì vậy sẽ có những dấu hiệu và tác động lên các thành phần của hệ thống, việc giám sát sẽ có nhiều thông tin thu thập hơn so với giai đoạn đầu. - Khu vực cần thiết lập giám sát: Vùng mạng biên, hệ máy trạm của người dùng trong hệ thống, hệ thống các máy chủ public ra ngoài. - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống antivirus, hệ thống Firewall và Mailgateway, hệ thống Sanboxing, hệ thống IDPS. - Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân tích dựa trên mẫu có trước và phân tích tính tương quan. 1.4.3. Giám sát giai đoạn Internal Recon Đây là giai đoạn có khả năng phát hiện ra tấn công cao, vì ở giai đoạn này kẻ tấn công sẽ dùng các công cụ, kỹ thuật để dò tìm, khám phá hệ thống