Author Archives: ducasec

Thêm một kỹ thuật được các trang Phishing sử dụng để che giấu tên miền

Đây là 1 trang giả mạo giao diện ngân hàng Chase, trong chiến dịch lừa đảo phát động từ ngày 9/7/2015.
1
Điều đáng chú ý ở đây là các bạn hãy nhìn lên thanh địa chỉ trên trình duyệt.
Nó không ghi bất kỳ thứ gì liên quan tới địa chỉ của website, mà là một đoạn mã bắt đầu bởi: data:text/html;base64 sau đó sẽ là 1 chuỗi văn bản đã được mã hoá bằng base64. Chiêu này sẽ che mắt nạn nhân bởi nếu có để ý họ cũng không hiểu đây là gì và nghĩ rằng vẫn đang ở website chính hãng.
Bây giờ chúng ta sẽ tìm hiểu xem về kỹ thuật tại sao kẻ xấu có thể thực hiện được điều đó.
Đường dẫn thật sự của website mạo danh là: hxxp://noithatngoclam.com/wp-includes/applicateding.php, khi người dùng bị lừa bấm vào đường dẫn, trình duyệt sẽ trả về đoạn mã như sau
2
Chúng ta lưu ý sự xuất hiện của thẻ
 <meta HTTP-EQUIV=”REFRESH” content=”0; url=data:text/html;base64,[đoạn dữ liệu được mã hoá base64]>.
Khi được nhúng vào trang web, thẻ này sẽ yêu cầu trình duyệt ngay lập tức refresh trang hiện tại và sau đó tải dữ liệu được chỉ định ở ngay phần đoạn mã base64 đi kèm.
Lợi dụng đặc điểm này, kẻ tấn công đã tạo ra được 1 chiến dịch lừa đảo khéo léo che đi URL của website giả mạo, giúp cho chiến dịch lừa đảo có thể dễ dàng thành công hơn.
Như vậy phần dữ liệu được mã hoá base64 đó chính là nội dung mạo danh trang web của Chase, và ăn cắp mật khẩu của người dùng khi họ thao tác tại trang giả mạo này.
3

Cảnh bảo mã độc mới phát tán qua Skype

Bắt đầu từ tối ngày 3/3/2015, một số người sử dụng Skype nhận được tin nhắn từ bạn của mình, đi kèm với 1 đường dẫn. Nếu bấm vào đường dẫn, trình duyệt sẽ mở tới 1 website hiển thị dưới dạng 1 trang về video và yêu cầu người dùng cài đặt thêm plugin để xem. Đây thực chất là 1 chiêu lừa đảo người sử dụng nhằm cài đặt mã độc lên máy tính của họ.

skype

Dụ người dùng vào trang skypepopvideo.net

sky_virus

Dụ người dùng vào trang videoskype24.ru

plugin

Nếu người dùng bấm vào nút “Install plugin”, 1 file tên là setup.exe sẽ được tải xuống.
download_setup_exe
File setup.exe thực chất chính là mã độc. Mã độc này làm 2 nhiệm vụ chính là tiếp tục phát tán qua Skype và đánh cắp thông tin trình duyệt
Setup.exe
Phòng tránh
– Cảnh giác với các đường link được gửi qua Skype, hoặc bất kỳ các ứng dụng nhắn tin khác như Facebook Messenger, Viber, Yahoo…
– Giờ đây, không một trang video nào lại yêu cầu cài thêm plugin để xem được video. Chính vì vậy, không cài plugin nếu site nào yêu cầu bạn.
Thông tin thêm
– Nếu hệ điều hành trên máy tính của người dùng không phải Windows (ví dụ MacOS) thì link không dẫn tới trang yêu cầu cài plugin mà dẫn tới các site quảng cáo sản phẩm nào đó
– Trong số các file được sinh ra bởi Setup.exe thì SkypeFall.exe (chắc kẻ phát tán là fan hâm mộ của phim SkyFall) làm nhiệm vụ phát tán mã độc qua Skype. File này kết nối tới server (a.someskype.com, b.someskype.com…) đến nhận lệnh điều khiển
SkypeFallServer
– Hiện nay chỉ 11/57 phần mềm diệt virus phát hiện ra Setup.exe là mã độc
 Total_Setup
– Hiện nay chỉ 2/57 phần mềm diệt virus phát hiện ra SkypeFall.exe là mã độc
Total_SkypeFall

Mã độc CTBLocker mới chuyên tống tiền xuất hiện tại Việt Nam

Từ trưa ngày 21/01/2015, tôi bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với 1 thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân. Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
f0
Các file trên máy đã bị mã hoá
f1
Xuất hiện thông báo đòi tiền chuộc trên Desktop
Hoạt động của mã độc
Câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.
f2
Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail.
f3
Con downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
f51
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ  sẽ tải xuống 1 file .exe
f4
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau)
f5
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
f6
Mã độc mở các thư mục và mã hoá file
f7
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển
Chúng ta nên làm gì ?
Thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”.
Để không bị lây nhiễm những mã độc tống tiền chúng ta nên:
– Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Chúng ta có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc chúng ta có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
– Cảnh giác với các file đính kèm trong email. Tốt nhất là không mở file đối với email gửi từ người lạ.
– Chỉ tải các file cài đặt từ website chính gốc
– Không bấm vào các đường link nhận được qua chat hay email
– Thường xuyên backup các file tài liệu của mình

An ninh mạng thế giới: nhìn lại 2014 và dự đoán 2015

Phần 1: Nhìn lại 2014

Có quá nhiều sự kiện liên quan tới bảo mật trong năm 2014. Cho đến tận những ngày cuối năm, câu chuyện Sony bị tấn công và lấy cắp nhiều dữ liệu bí mật của công ty vẫn còn được cả thế giới nhắc đến. Hãy cùng điểm qua những điểm nhấn về an ninh mạng trong năm 2014.

Dữ liệu, dữ liệu và dữ liệu

Điểm nhấn đầu tiên của năm 2014, đó chính là các vụ tấn công đánh cắp hoặc phá huỷ dữ liệu xảy ra dồn dập. Hầu hết các vụ đình đám đều được nhắc với những dấu ấn “lớn nhất” hoặc “lần đầu tiên trong lịch sử”. Ví dụ như eBay, hãng thương mại điện tử hàng đầu thế giới bị đánh cắp 145 triệu thông tin người sử dụng hồi tháng 5. Hay như vụ tấn công tồi tệ nhất trong lịch sử các ngân hàng khiến hơn 80 triệu dữ liệu tài khoản khách hàng của JPMorgan bị lộ. Rồi các hãng bán lẻ như Home Depot bị mất 53 triệu thông tin thẻ tín dụng của khách hàng hay hơn 70 triệu thông tin của Target rơi vào tay kẻ xấu.

Chưa hết, vụ tấn công lấy cắp dữ liệu của Sony vào cuối năm 2014 có thể nói là một trong những vụ tấn công “khủng khiếp” xảy ra đối với các doanh nghiệp. Cuộc tấn công ngay lập tức khiến cổ phiếu của Sony lao xuống thẳng đứng và còn khiến cho bộ phim Interview trở thành bộ phim lần đầu tiên trong lịch sử bị hoãn chiếu với lý do bị hack. Tại Việt Nam, vụ tấn công vào VC Corp cũng có thể nói là vụ tấn công nhắm vào dữ liệu lớn nhất từ trước đến nay. Gây ảnh hưởng tới hoạt động của nhiều dịch vụ và được ước tính thiệt hại lên tới hàng chục tỷ VNĐ.

Đặc điểm chung của hầu hết các vụ tấn công trên đó là, hacker tìm cách cài đặt được phần mềm gián điệp đặc chủng vào một số máy tính bên trong hệ thống mạng của mục tiêu. Từ đó làm bàn đạp để tấn công vào các nguồn dữ liệu nhạy cảm. Việc tấn công tinh vi vào điểm yếu nhất trong hệ thống, đó là con người khiến cho chúng ta có cảm giác bất kỳ công ty nào giờ đây cũng có thể bị rò rỉ dữ liệu mà không có giải pháp nào để ngăn chặn.

Lỗ hổng, lỗ hổng và lỗ hổng

Nhiều lỗ hổng nguy hiểm có mức độ ảnh hưởng rộng đã bị khai thác trong năm 2014. Đặc biệt là những lỗ hổng của các giao thức quan trọng hoặc các thư viện nguồn mở được sử dụng rộng rãi trong nhiều phần mềm khác nhau.

Ồn ào nhất có lẽ là “Trái tim rỉ máu” Heartbleed, một lỗ hổng nguy hiểm của thư viện mã hoá OpenSSL. Ứng dụng của OpenSSL rất rộng bao gồm các máy chủ web chạy Apache hoặc Ngix, các máy chủ email, máy chủ VPN, Instant Message… Khai thác lỗ hổng, hacker có thể lấy được private key của server, sử dụng để mã hóa các dữ liệu trao đổi giữa server và client. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa client và server như chưa hề được mã hóa. Dễ hiểu hơn là hacker có thể đọc được username/password, nội dung email, chat vv.

Tiếp theo có thể kể đến là lỗ hổng Shellshock. Shellshock gây nguy hiểm cho các hệ thống máy chủ, thiết bị mạng trên nền Unix và nguy cơ khai thác rộng. Shellshock đe dọa hạ tầng mạng doanh nghiệp, chủ yếu là máy chủ web hơn là đối tượng người dùng phổ thông với máy tính cá nhân. Khi khai thác thành công sẽ có mức độ nguy hiểm cao, cho phép hacker từ xa điều khiển được máy chủ, thiết bị mục tiêu.

Lỗ hổng có tên POODLE được công bố vào tháng 10 có lẽ đã đặt dấu chấm hết việc sử dụng SSL 3.0 (Secure Socket Layer) để mã hoá các giao dịch trên mạng. Lỗ hổng cho phép hacker có thể khai thác điểm yếu của SSL 3.0 để giải mã các thông tin nhạy cảm, khiến cho các tài khoản của người sử dụng trong nhiều dịch vụ có thể bị đánh cắp. Mọi hệ thống được khuyến cáo từ bỏ SSL vốn được biết đến là không đủ an toàn để chuyển sang sử dụng TLS (Transport Layer Security). Tuy nhiên, mọi chuyện chưa kết thúc khi trong tháng cuối năm 2014, người ta lại tiếp tục công bố POODLE cũng ảnh hưởng tới TLS khiến cho hàng loạt các ngân hàng và hãng lớn phải cấp nhật ngay lập tức bản vá cho TLS.

Tại Việt Nam, các quản trị hệ thống đặc biệt là các tổ chức tài chính, ngân hàng đã có một năm vất vả để cập nhật bản vá cho nhiều lỗ hổng trên các hệ thống giao dịch của mình.

Quyền riêng tư của người sử dụng

Một trong những điểm nhấn về an ninh mạng của năm 2014 đó là vấn đề quyền riêng tư bị xâm phạm. Ngày càng có nhiều cáo buộc các hãng điện thoại, các nhà cung cấp dịch vụ hay ứng dụng tìm cách thu thập các thông tin riêng tư của người sử dụng một cách âm thầm. Điển hình là vụ việc các chuyên gia của F-Secure công bố phát hiện hãng điện thoại Xiaomi thu thập thông tin cá nhân của người sử dụng. Sau đó, phó chủ tịch của Xiaomi là Hugo Barra cũng đã phải lên tiếng xin lỗi về hành vi này. Sự việc trên cũng khiến cho nhiều hãng điện thoại bị yêu cầu kiểm tra, thậm chí có nhiều quốc gia cáo buộc thêm cả Apple, Samsung.. cũng nằm trong diện phải điều chỉnh để phù hợp với luật riêng tư của quốc gia đó.

Ứng dụng Uber trên Android cũng gặp phải cáo buộc tương tự. Các nhà nghiên cứu cũng tìm ra một số dấu hiệu thu thập thông tin của người dùng khiến cho hãng này bắt buộc phải cập nhật phiên bản mới và thay đổi chính sách bảo mật để người dùng tin tưởng hơn.

Tại Việt Nam, vụ việc hơn 14 nghìn điện thoại đã bị cài đặt phần mềm PTracker để nghe lén nội dung tin nhắn, cuộc gọi, địa điểm… cũng là một vụ việc điển hình vì cho sự xâm phạm quyền riêng tư.

Phát hiện nhiều loại mã độc nguy hiểm

Screen Shot 2015-01-08 at 3.39.44 PM

Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm 2014, nhiều hơn hẳn so với các năm trước. Bên cạnh sự vượt trội về số lượng, chúng ta cũng có thể thấy 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mã độc khác.

Tháng 11, hãng an ninh Kaspersky phát hiện một loại mã độc được đặt tên là DarkHotel. Điểm khác biệt của DarkHotel đó là nó lây lan trong hệ thống mạng wifi của các khách sạn cao cấp. Mục tiêu của nó chính là đánh cắp dữ liệu của các “VIP” các CEO, các chủ tịch hay các lãnh đạo cấp cao của nhiều tập đoàn. Không phải cứ khách hàng nào kết nối máy tính với khách sạn đang trong tầm ngắm đều bị lây nhiễm. Mà kẻ đứng đằng sau DarkHotel nhằm vào từng đối tượng nạn nhân cụ thể. Theo báo cáo thì có khoảng 90% lây nhiễm mã độc DarkHotel được phát hiện ở Nhật Bản, Đài Loan, Trung Quốc, Nga và Hàn Quốc.

Nếu như DarkHotel khác biệt bởi môi trường tấn công của nó thì Regin, một siêu gián điệp được công bố cũng trong tháng 11 nổi bật ở độ phức tạp của nó. Người ta so sánh độ phức tạp của Regin với Stuxnet, sâu đã tấn công vào các nhà máy hạt nhân xuất hiện năm 2010. Đặc điểm nổi bật tạo nên sự khác biệt của Regin đó là nó có module để có thể thu thập thông tin trong mạng GSM. Chính vì vậy mục tiêu của nó có thể là các hạ tầng mạng của các nhà cung cấp dịch vụ viễn thông. Dấu vết của Regin được tìm thấy tại nhiều quốc gia trên thế giới: Nga, A rập Xê út, Bỉ, Đức, Iran, Ấn Độ…

Phần 2: 8 dự đoán về an ninh mạng năm 2015

  1. Tiếp tục xuất hiện các phần mềm gián điệp tinh vi nhắm vào hạ tầng trọng yếu của các quốc gia để đánh cắp và phá huỷ.
  2. Mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiện nhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động
  3. Quyền riêng tư của người sử dụng tiếp tục là vấn đề nóng đặc biệt là trên các hãng sản xuất thiết bị di động hoặc các ứng dụng di động.
  4. Có thể xuất hiện nhiều vụ lọ lọt dữ liệu của người sử dụng tương tự như vụ các diễn viên nổi tiếng bị lộ ảnh nóng trên iCloud. Các dịch vụ lưu trữ dữ liệu đám mây gặp phải sự nghi ngại của người sử dụng do vấn đề đảm bảo an toàn.
  5. Mạng xã hội như Facebook sẽ trở thành con đường chủ yếu để những kẻ lừa đảo hoạt động.
  6. Các cuộc tấn công mạng mang màu sắc chính trị gia tăng giữa nhóm hacker của các quốc gia.
  7. Hacker tiếp tục nhắm vào các giao thức mạng hoặc thư viện quan trọng với hy vọng tìm ra những lỗ hổng tương tự Heartbleed hay Shellshock.
  8. Doanh nghiệp đối đầu với các cuộc tấn công đánh cắp dữ liệu ngày càng tinh vi. Đặc biệt là các tổ chức tài chính và cung cấp dịch vụ internet.

 

Tài liệu tham khảo:

1. http://en.wikipedia.org/wiki/POODLE
2. http://www.pcworld.com/article/2855892/apple-xiaomi-smartphones-found-violating-privacy-laws-in-taiwan.html
3. http://www.gizmag.com/uber-app-malware-android/34962/
4. http://securelist.com/blog/research/66779/the-darkhotel-apt/
5. http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
6. http://www.forbes.com/sites/sungardas/2015/01/02/cyber-security-professionals-predict-their-biggest-concerns-for-2015/
7. https://securelist.com/analysis/kaspersky-security-bulletin/67864/kaspersky-security-bulletin-2014-predictions-2015/
8. http://www.govtech.com/blogs/lohrmann-on-cybersecurity/The-Top-15-Security-Predictions-for-2015.html

A data’s story: Analysing Android malware in 2014 for seeing what’s next

Malware thực chất cũng là phần mềm. Như vậy, cũng như các phần mềm khác, phiên bản sau sẽ được các developer phát triển dựa vào phiên bản trước. Vậy thì một câu hỏi được đặt ra, đó là: Liệu chúng ta có thể dự đoán được sự xuất của các dòng mã độc kế tiếp dựa vào việc phân tích hành vi của những mẫu mà ta đã biết trước ?

Để trả lời câu hỏi trên thì tôi đã làm 1 nghiên cứu nho nhỏ. Tôi lựa chọn đối tượng nghiên cứu các dòng mã độc trên Android thay vì tất cả các loại mã độc vì tôi muốn thử theo nguyên tắc “start small first”. Hành vi mã độc trên Android đủ đa dạng nhưng không quá nhiều như trên PC.

Architecture1

Với các kênh khác nhau, tôi có được 5942 mẫu mã độc Android xuất hiện trong năm 2014. Sau đó tôi cho chạy chúng qua các hệ thống sandbox và ghi nhận các hành vi của chúng. Sau đó công việc của tôi đơn giản chỉ là thống kê.  Hình phía trên là mô tả sơ bộ lại quá trình thử nghiệm của tôi.

Biểu đồ dưới đây thống kê thời điểm xuất hiện của từng mẫu mã độc mà tôi có được trong năm 2014

Screen Shot 2014-12-09 at 6.58.38 PM

Tôi phân loại mã độc trên Android thành 3 dạng chính:

Trojan: Loại mã độc khi lây nhiễm có thể làm gián đoạn hoạt động của điện thoại, gửi các tin nhắn SMS kiếm tiền, hay điều khiển các thành phần như kết nối mạng, GPS…, tạo điều kiện cho hacker từ xa có thể điều khiển được điện thoại để trục lợi.

Spyware: Mã độc sau khi được cài đặt thì tìm cách đánh cắp thông tin/dữ liệu của người dùng trên điện thoại như danh bạ, nội dung tin nhắn, các thông tin tài chính, tài khoản…

Ransomware: Loại mã độc này thường cản trở hoạt động thông thường của điện thoại (như khoá máy, hoặc mã hoá các file trên thẻ nhớ…) sau đó doạ nạt người sử dụng phải trả tiền để điện thoại hoạt động trở lại bình thường.

Screen Shot 2014-12-09 at 7.37.47 PM

Dưới đây là một số kết quả vui vui có được từ các thống kê:

Đã có thể nhìn thấy trước thời điểm xuất hiện của các Ransomware

Theo báo cáo của các hãng AV, thì từ tháng 5/2014 bắt đầu cảnh báo về các dòng ransomware đầu tiên trên thế giới nhằm vào Android. Ban đầu chúng có tính năng khoá máy, sau đó theo thời gian xuất hiện nhiều con thực hiện mã hoá các file trên điện thoại (1).

Tuy nhiên, nếu nhìn lại số liệu thống kê trên ta sẽ thấy, thực tế là các hacker đã bắt đầu thử nghiệm và tung ra một vài con ransomware từ tháng 4. Tuy nhiên tại thời điểm đó, các hãng AV chưa nhìn thấy được sự xuất hiện của dòng mã độc này. Chỉ khi chúng ta nhìn lại bằng số liệu mới thấy được điều đó.

Vậy thì nếu theo dõi thường xuyên các tập mẫu, chúng ta có thể đã biết sớm hơn về sự xuất hiện của Ransomware và có thể cảnh báo chúng sớm hơn nữa.

Sự thay đổi của các Trojan sử dụng SMS

Một điểm quan trọng đối với các ứng dụng trên Android đó là cần phải đăng ký để sử dụng các quyền khác nhau (ví dụ như quyền gửi SMS, quyền truy cập danh bạ, quyền đọc GPS của điện thoại…)

Thống kê số liệu tập mẫu của tôi có được, thì tôi nhận thấy có một sự thay đổi khá rõ nét liên quan tới các quyền sử dụng SMS như: SEND_SMS, READ_SMS, RECEIVE_SMS, WRITE_SMS… Đó là từ khoảng giữa năm trở đi, số quyền SMS được các mã độc sử dụng ít đi trông thấy.

trojansms

 

Có lẽ là các trojan SMS giờ đây rất dễ bị tóm và cũng có thể việc kiếm tiền hoặc truyền thông tin qua SMS không còn được hiệu quả nữa chăng ?

Thống kê top các Permission nguy hiểm được sử dụng theo từng dòng

 

Top 10 các Permission nguy hiểm mà các Trojan sử dụng

Screen Shot 2015-01-05 at 11.13.25 AM

 

Screen Shot 2014-12-10 at 1.39.29 PM

Top 10 các Permission nguy hiểm mà các Spy sử dụng

Screen Shot 2015-01-05 at 11.15.16 AM

Screen Shot 2014-12-10 at 1.44.36 PM

Top 10 các Permission nguy hiểm mà các Ransomware sử dụng

Screen Shot 2015-01-05 at 11.16.43 AM

Screen Shot 2014-12-10 at 1.49.20 PM

Dự đoán 2015 

Dự đoán chung

  • Các dòng trojan sử dụng các quyền liên quan tới SMS tiếp tục giảm đi
  • Các mã độc sử dụng quyền liên quan tới kết nối internet, đọc trạng thái điện thoại, theo dõi cuộc gọi, GPS.. sẽ gia tăng. Điều đó có nghĩa là các spyware nhắm vào đánh cắp thông tin (chẳng hạn mobile banking) người dùng sẽ gia tăng.
  • Xu hướng xuất hiện những mã độc chỉ cần lấy được quyền INTERNET và READ_PHONE_STATE để tránh sự nhòm ngó của các phần mềm AV
  • Ransomeware sẽ tiếp tục gia tăng: ngoài việc mã hoá/khoá máy để kiếm tiền của người dùng bằng cách doạ nạt, nhiều kỹ thuật có thể được sử dụng: dùng quyền CAMERA, CALL_PHONE… để tăng thêm tính doạ nạt cũng như sẽ có nhiều hình thức kết nối thanh toán khác nhau.

Dự đoán đặc điểm của một trojan mới xuất hiện

Screen Shot 2015-01-05 at 11.19.09 AM

 

Dự đoán đặc điểm của một spyware mới xuất hiện

Screen Shot 2015-01-05 at 11.20.25 AM

Dự đoán đặc điểm của một Ransomware mới xuất hiện

Screen Shot 2015-01-05 at 11.21.16 AM

Kết luận

Như vậy, phương pháp này có thể giúp chúng ta một số điểm sau:

  • Có thể nhìn thấy sớm được sự xuất hiện của một dòng mã độc mới
  • Số liệu và sự biến đổi của các dòng mã độc theo từng gian đoạn
  • Có thể giúp chúng ta dự đoán được phần nào đặc điểm của những biến thể mới

Để dự đoán được chính xác hơn đối với từng dòng, ta sẽ phải phân tích và theo dõi các biến thể của dòng đó. Nếu có thời gian, tôi sẽ tiếp tục viết tiếp về việc này. Ví dụ phân tích và dự đoán về các dòng Ramsomware nổi tiếng là Simplocker hay các dòng mobile banking

Hạn chế của phương pháp 

  • Phụ thuộc vào số lượng mẫu có được
  • Không có các thông tin về số lượng bị lây nhiễm và địa điểm bị lây nhiễm (các AV có điều này, nhưng cũng phụ thuộc vào thị trường của họ)
  • Phụ thuộc vào khả năng của Sandbox

 

Vietnamese websites hacked for phishing campaigns

Trong tháng 8 và 9/2014, đã có hàng trăm website của Việt Nam bị hacker lợi dụng để đặt các trang web lừa đảo trực tuyến.
Dưới đây là một số ví dụ:
4
1
2
3
Các website của Việt Nam thường xuyên trở thành mục tiêu tấn công của các hacker, với con số lên đến hàng nghìn site mỗi tháng. Mục đích tấn công của hacker khá đa dạng, trong đó có bao gồm việc lợi dụng các máy chủ này để thực hiện các cuộc tấn công khác ví dụ như làm máy chủ điều khiển botnet hay dựng các website lừa đảo trực tuyến.
Các cuộc tấn công lừa đảo thường nhằm vào người sử dụng của các dịch vụ thương mại điện tử, ngân hàng điện tử hoặc các dịch vụ trực tuyến phổ biến như email, hay mạng xã hội.
Lý do chủ yếu để các tội phạm sử dụng những máy chủ này để tấn công lừa đảo trực tuyến là do sự ẩn danh. Việc truy tìm dấu vết của tội phạm sẽ phức tạp hơn, thay vị hacker tự mua  hoặc thuê các máy chủ để đặt các trang lừa đảo.
Nguyên nhân dẫn đến tình trạng trên vẫn xuất phát từ việc đơn vị chủ quản của các website ở Việt Nam còn lơ là trong việc đảm bảo an toàn an ninh cho website, dẫn đến website tồn tại nhiều lỗ hổng để giới tội phạm lợi dụng.

Malware detection based on abnormal activities

Ai cũng có thể bị nhiễm virus và vì vậy chúng ta sẽ luôn cần phần mềm bảo vệ. Mục tiêu lớn nhất của phần mềm là ngăn không cho các file độc được thực thi trên máy tính. Chính vì vậy, các mẫu nhận diện phải được cập nhât một cách nhanh nhất.

Thực tế thì vẫn có nhiều tình huống phần mềm không phát hiện ra và để máy tính bị nhiễm. Khi đó thì có không ít trường hợp bất thường mà có vẻ như các phần mềm security chưa phát hiện được. Đây là một ví dụ:
H1
Các firewall nếu đã cho phép một tiến trình được kết nối mạng thì sẽ không kiểm tra các kết nối đó nữa. Chính vì vậy, các phần mềm độc hại thường sẽ tìm cách núp bóng các tiến trình chuẩn để tìm cách trốn được sự kiểm soát.
Như vậy, nếu dùng công cụ rà soát các kết nối mạng thì bằng mắt, ta dễ dàng nhìn thấy có quá nhiều kết nối mạng từ svchost.exe ra địa chỉ IP ở bên ngoài. Tuy nhiên các phần mềm bảo vệ lại bỏ qua dấu hiệu nghi ngờ này.
Mã độc khi được thực thi đã inject vào tiến trình svchost chuẩn của Microsoft và mượn tiến trình này để câu ra bên ngoài.
H2
Công việc tiếp theo là săn tìm “kẻ núp bóng” svchost
H3
Thường thì các mã độc sẽ không có chữ ký. Vì vậy ta sẽ có ngay được một file nghi ngờ.
Hầu hết các AV không phát hiện ra mã độc này.
H4
Sau khi phân tích thì đây là 1 keylog, chuyên ăn cắp thông tin gõ được trên bàn phím, lưu thành file và gửi về máy chủ của hacker đặt tại vài nơi ở Châu Âu.

Real-time Big Data Use case: Security Analytics

eBay vừa mới thông báo họ bị tấn công và 145 triệu tài khoản của người dùng đã đánh cắp (theo Reuters). Trước đó là Adobe, Evernote, Sony… bị mất vài chục cho đến vài trăm nghìn tài khoản.

attacked

Nguồn: informationisbeautiful.net

Trong cuộc tấn công vào eBay, ngoài con số thiệt hại 145 triệu tài khoản được chú ý, chúng ta còn thấy có 2  yếu tố quan trọng nữa mà ít người đý hơn. 

  • eBay biết họ bị tấn công sau bao nhiêu lâu ?
  • eBay bị tấn công như thế nào ?

Một thực tế khá tđó là cuộc tấn công vào eBay diễn ra từ cuối tháng 2/2014, vậy mà mãi tới tháng 5 họ mới phát hiện ra. Nhưng eBay không phải là kẻ cô độc, hầu hết các cuộc tấn công trên đều xảy ra trong tình trạng tương tự. Nạn nhân không hề biết mình đã bđánh cắp dữ liệu trong một khoảng thời gian dài.

Kẻ tấn công cũng không hề nhắm trực tiếp vào máy chủ của eBay, nơi sẽ khó khăn hơn để tìm lỗ hổng và có thể có nhiều tầng lớp bảo vệ. Cũng giống nhiều cuộc tấn công gần đây, con đường mà kẻ tấn công khai thác lại chính là máy tính của những nhân viên trong hệ thống. Những máy tính này ít nhiều được cấp quyền để truy nhập vào các hệ thống máy chủ quan trọng hơn. Hãy xem eBay tự nói gì về vụ này: “Cyberattackers compromised a small number of employee log-in credentials, allowing unauthorized access to eBay’s corporate network“.

Nhưng chẳng nhẽ, eBay và các hãng khác không trang bị các giải pháp phòng chống mã độc, phát hiện xâm nhập, tường lửa… ? Tôi tin chắc chắn rằng họ đã có cả tá những giải pháp được coi là tốt nhất. Vậy mà các mã độc vẫn phát tán được vào các máy tính bên trong hệ thống, các dữ liệu được lấy trộm và gửi ra bên ngoài một cách trót lọt, trước sự kiểm soát của tường lửa.

Vậy thì các giải pháp security hiện nay đã thất bại ? Vâng, hơi buồn nhưng có thể nói là như vậy.

Đã đến lúc cần có sự xuất hiện của “Next-generation Security System ?

Vì các tường lửa thì hoạt động theo “rules”, IDS/IPS thì hoạt động theo “signatures”, các AV thì theo “samples”. Một vài tính năng “thông minh” thực tế cũng không giải quyết được vấn đề. Đơn giản vì chúng hiện nay, chưa đủ khả năng để phát hiện ra một sự “bất thường” xảy ra trong hệ thống.

Vậy một cuộc tấn công thì có những “bất thường” gì ? Trong cả một vài tháng, các tên miền được truy cập của một mạng khá ổn định, vậy mà một hôm đẹp trời, giữa đêm khuya thanh vắng, xuất hiện vài tên miền loằng ngoằng, IP lạ hoắc lại được một vài máy tính trong mạng kết nối đến. Đó là ví dụ của sự bất thường. Máy tính A trong cả 1 tháng, lưu lượng mạng trung bình một ngày là 400MB, tự nhiên chủ nhật lại tăng lên 4GB. Đó cũng là 1 ví dụ của sự bất thường.

Như vậy thì có nhiều thể loại bất thường: bất thường về băng thông, bất thường về các kết nối, bất thường về các tên miền/địa chỉ IP, bất thường trong các giao thức, bất thường trong các payload…

Về cơ bản các hệ thống hiện nay không giải quyết được do hạn chế về khả năng tính toán. Nó đòi hỏi phải có tính real-time cao, lượng dữ liệu xử lý  cực lớn cả hiện tại và quá khứ, các thuật toán phức tạp trong việc phát hiện sự bất thường…

Hey, big data có thđáp ứng được những đòi hỏi trên đấy ;). Vậy thì đã đến lúc xuất hiện “Next-generatoin Security System” rồi.

Statistics of April Web Defacement by Chart

Tính đến ngày 27, tháng 4 có 351 website .vn của Việt Nam bị tấn công theo nguồn Zone-H. Điều đó có nghĩa là mỗi ngày có khoảng 12 website bị tấn công, hoặc 2 tiếng có 1 website bị kiểm soát.

Nếu so sánh với một vài nước trong khu vực thì con số này cũng không phải là quá khủng khiếp. Ví dụ: Thái Lan trong tháng có 391 site .th bị tấn công, hay con số 236 site .id của Indonesia. Như vậy chỉ có thể kết luận rằng, có quá nhiều website tồn tại lỗ hổng.

Hãy cùng xem các cuộc tấn công này qua một vài biểu đ

1

2

3

4

5

Heartbleed – Lỗ hổng nguy hiểm trong thư viện OpenSSL

Update on 10h, 10/04/2014: Cảm ơn Duong Kai, Luc Trong góp ý về phần cập nhật bản vá.

Về cơ bản thì lỗ hổng này là gì ?

Một lỗ hổng nguy hiểm của OpenSSL mới được công bố cho phép hacker có thể từ xa đọc được bộ nhớ trên máy chủ có cài đặt OpenSSL phiên bản 1.0.1 đến 1.0.1f.

Chúng ta tạm hiểu, OpenSSL là 1 thư viện mã hóa, được sử dụng để… mã hóa (tất nhiên :D) dữ liệu trao đổi giữa máy chủ và client. Vậy những máy chủ nào sử dụng OpenSSL ? Câu trả lời là rất rất nhiều. Kể sơ qua có thể thấy là các máy chủ web chạy apache hoặc ngix, các máy chủ email, VPN, Instant Message…

Khai thác lỗ hổng, hacker có thể lấy được private key của server, sử dụng để mã hóa các dữ liệu trao đổi giữa server và client. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa client và server như chưa hề được mã hóa :D. Dễ hiểu hơn là hacker có thể đọc được username/password, nội dung email, chat vv

Như vậy, đích nhắm của hacker sẽ là các site có thanh toán trực tuyến như: ngân hàng điện tử, chứng khoán điện tử, cổng thanh toán điện tử, các trang về thương mại điện tử. Ngoài ra, các mail server và một số dịch vụ khác có sử dụng OpenSSL để mã hóa cũng sẽ là mục tiêu tấn công.

Tại sao lại gọi lỗ hổng là “Trái tim rỉ máu” (HeartBleed)

Vì lỗ hổng nằm trong việc xử lý TLS Heartbeat extension (RFC6520) của OpenSSL. Nguyên lý hoạt động của RFC này là để client/server kiểm tra xem bạn của mình có còn sống hay không (kiểm tra nhịp tim – Heartbeat). Do lỗi ở tính năng kiểm tra heartbeat, nên người ta văn vẻ gọi lỗ hổng là Heartbleed.

Cụ thể: Client sẽ gửi 1 message heartbeat đến server với 1 kích thước nào đó  (ví dụ 1KB ) thì server sẽ phản hồi chính message đó lại cho client. Tạm hiểu là nếu tôi ném cho ông 1 quả táo để xem ông có còn sống hay không, ông sẽ ném lại tôi đúng quả táo đó để báo là ông còn sống.

Nhưng lợi dụng việc xử lý không tốt trong OpenSSL, hacker sẽ gửi 1 message có kích thước thật là 1KB, nhưng lại lừa rằng nó có kích thước 64KB. Do không kiểm tra cẩn thận, nên server sẽ trả lời bằng 1 gói tin có kích thước là 64KB (bao gồm 1KB là message thật và 63 KB trong bộ nhớ của server). Với lỗ hổng này, hacker sẽ tự nhiên nhận được 63KB dữ liệu trên RAM của server để tiếp tục khai thác.

1Bộ nhớ trên một máy chủ bị rò rỉ

Những máy chủ nào có nguy cơ bị lỗ hổng ?

Phiên bản tồn tại lỗ hổng là OpenSSL 1.0.1 đến 1.0.1f. Các phiên bản trước đó và sau đó không bị.

Một số hệ điều hành có cài đặt sẵn OpenSSL sau đây có thể bị:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

Cập nhật bản vá cho lỗ hổng như thế nào ?

Đầu tiên, cần kiểm tra phiên bản hiện tại trên máy là bao nhiêu bằng câu lệnh:

openssl version – a

Nếu kết quả ví dụ là

OpenSSL 1.0.1e 11 Feb 2013 (phiên bản 1.0.1e có lỗi)

Thì xin chúc mừng, bạn cần phải cập nhật ngay lập tức.

Sau đó tùy vào OS của bạn, sẽ cập nhật với câu lệnh tương ứng

Ví dụ trên CentOS là yum update openssl

Ví dụ trên Ubuntu là apt-get upgrade openssl

References

http://cvedetails.com/cve/2014-0160

http://heartbleed.com

https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/ssl/openssl_heartbleed.rb

http://www.ehackingnews.com/2014/04/heartbleed-openssl-vulnerability.html

https://gist.github.com/sh1n0b1/10100394

http://www.howtoforge.com/find_out_if_server_is_affected_from_openssl_heartbleed_vulnerability_cve-2014-0160_and_how_to_fix