A- A A+ | Chia sẻ bài viết lên facebook Chia sẻ bài viết lên twitter Chia sẻ bài viết lên google+ Tăng tương phản Giảm tương phản

Vai trò của hệ thống giám sát an toàn thông tin trong việc phát hiện các mã độc

Tình huống giả định được đưa ra đối với hệ thống mạng Công nghệ thông tin(CNTT) không được trang bị giám sát an toàn thông tin và với hệ thống được trang bị giám sát an toàn thông tin nhằm nâng cao vị trí, vai trò của các hệ thống giám sát an toàn an ninh mạng đồng thời nâng cao tinh thần cảnh giác từ phía người sử dụng để đảm bảo an toàn của hệ thống CNTT trong các cơ quan nhà nước.


Hacker tấn công vào hệ thống mạng CNTT không được trang bị giám sát an toàn thông tin thường qua 2 giai đoạn

Giai đoạn 1: Tấn công phát tán mã độc qua thư điện tử: Hacker tìm kiếm các thông tin về tài khoản thư điện tử của người quản trị nội dung trang website điều hành tác nghiệp(ĐHTN), từ đó có thể giả mạo thư điện tử có đính kèm mã độc hại. Các thông tin về thư điện tử , số điện thoại thường được đăng tải ở phần thông tin liên hệ của các website.

 

 

 

 

 

Khi người quản trị nội dung trang website nhận được email này và xem nội dung của file đính kèm, mã độc hại được cài đặt ngầm định trên máy tính người dùng nhưng người dùng không nhận biết được

Mã độc sẽ thực hiện kết nối tới máy chủ điều khiển từ xa của Hacker, lúc này máy tính người dùng đã bị Hacker kiểm soát hoàn toàn. Hacker tiếp tục khai thác, đánh cắp dữ liệu, thông tin của người dùng, trong đó có tài khoản và mật khẩu quản trị nội dung website ĐHTN.

Hacker sử dụng tài khoản này để tải lên các mã độc hại trên web ĐHTN, nâng quyền chiếm máy chủ website ĐHTN từ đó sử dụng máy chủ vừa chiếm được thành bàn đạp tấn công các máy chủ khác trong mạng.

Tấn công leo thang sang hệ thống máy chủ trong vùng DMZ (Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet): Hacker cài đặt backdoor nhằm biến máy chủ web ĐHTN thành một proxy để thực hiện tấn công các máy chủ khác bên trong mạng DMZ. Các máy chủ khác bị Hacker tấn công thông qua các điểm yếu về bảo mật, cho phép Hacker tấn công, đánh cắp dữ liệu, cài đặt backdoor và chiếm quyền điều khiển các máy chủ này.

Tấn công người dùng đầu cuối: Hacker tấn công sang máy người dùng đầu cuối – đây là những người thường xuyên truy cập vào website ĐHTN, Hacker tiến hành chèn mã độc vào các văn bản trên website ĐHTN. Người dùng đầu cuối tải các văn bản chỉ đạo từ web ĐHTN và xem nội dung các văn bản này, mã độc hại sẽ được cài đặt trên máy người dùng. Từ đó kiểm soát và đánh cắp dữ liệu thông tin cá nhân người dùng. Hacker đánh cắp thông tin tài khoản facebook, kiểm soát toàn bộ dữ liệu trên máy tính người dùng. Sau đó Hacker sử dụng tài khoản facebook của người dùng để tiếp tục thực hiện các tấn công vào thiết bị di động.

Giai đoạn 2: Tấn công vào thiết bị di dộng: Hacker chèn các mã độc hại vào các trò chơi trên thiết bị di động. Sử dụng các thông tin tài khoản facebook vừa đánh cắp được để phát tấn mã độc bằng cách gửi đường link của trò chơi này tới tất cả danh sách bạn bè của người dùng. Hacker đánh cắp dữ liệu từ thiết bị di động của người dùng, ghi âm cuộc gọi, quay video trực tiếp, đọc tin nhắn … nhưng người dùng không nhận biết được.

Hacker tấn công vào hệ thống mạng CNTT được trang bị giám sát an toàn thông tin

Lúc này hệ thống được cài đặt thêm thiết bị giám sát. Thiết bị này thu  thập các dữ liệu Log từ các thành phần trong hệ thống mạng: fire wall, switch, router… Đồng thời trên máy chủ, các máy tính người dùng được cài đặt thêm phần mềm giám sát đầu cuối để nhằm mục đích thu thập các dữ liệu Log trên các máy tính. Như vậy, ngay từ giai đoạn tấn công đầu tiên xảy ra, hệ thống giám sát an toàn thông tin đã đưa ra các dấu hiệu cảnh báo.

Bước 1: Hệ thống cảnh báo có dấu hiệu kết nối đến máy chủ CnC (computer numerical control – máy điều khiển tự động) . Xuất phát từ địa chỉ IP của máy quản trị mạng. Mã độc được cài đặt và kết nối tới IP máy chủ điều khiển từ xa của Hacker, lúc này hệ thống giám sát an toàn thông tin sẽ lập tức đưa ra cảnh báo về kết nối không an toàn cho phía quản trị mạng.

Bước 2: Cán bộ giám sát phát hiện có các lệnh bất thường được cài đặt trên máy chủ. Các phần mềm thu thập đầu cuối cho phép giám sát các thay đổi của máy tính thông qua dữ liệu Log.

Bước 3: Phát hiện có dấu hiệu dịch vụ được tạo thiết lập chạy khởi động cùng hệ điều hành Window.  Khi có tiến trình mới các dịch vụ mới được cài đặt lên máy tính người dùng, hay các kết nối được thiết lập, hệ thống giám sát an toàn thông tin sẽ phát hiện và đưa ra cảnh báo.

Bước 4: Tổng hợp báo cáo và phương án giải quyết gửi cho người dùng. Gửi cảnh báo nghi ngờ tấn công mạng cho phía mạng được giám sát với các thông tin và hướng khắc phục xử lý.


Tác giả: Thu Hoài
Nguồn: sottttold.www.knparagon.com
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết
Tin liên quan
Thăm dò ý kiến
Theo bạn thông tin nội dung của website thế nào?
Thống kê truy cập
Hôm nay : 516
Hôm qua : 1.508
Tháng 05 : 20.434
Năm 2020 : 167.249