Quá trình truy vết, xâu chuỗi, phân tích các sự kiện liên quan đến ransomware; các báo cáo đã cho thấy nhiều biến thể sử dụng các tài khoản có đặc quyền và được tin cậy để kết nối với các hệ thống trong một môi trường. Cụ thể, giao thức SMB (Server Message Block) được sử dụng cho kênh giao tiếp giữa các hệ thống, ví dụ: từ máy trạm tới Domain Controllers hoặc File Servers cũng thường được kẻ tấn công sử dụng. Các chính sách tường lửa Windows có thể được cấu hình để hạn chế phạm vi giao tiếp được phép giữa các điểm đầu cuối thông thường trong một môi trường. Chính sách tường lửa này có thể được áp dụng cục bộ hoặc toàn bộ thông qua chính sách nhóm (GPOs). Các cổng và giao thức thông thường nên bị chặn giữa máy trạm với máy trạm - và máy trạm đến các máy không phải Domain Controllers và File Servers bao gồm:
- SMB (TCP/445, TCP/135, TCP/139)
- Giao thức Điều khiển Máy tính từ xa (TCP/3389)
- Quản lý Máy tính từ xa Windows / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
- WMI (dải cổng động được gán thông qua DCOM)
Sử dụng chính sách nhóm (Group Policy), các cài đặt được liệt kê trong Bảng 1 có thể được cấu hình cho tường lửa Windows để hạn chế giao tiếp đến cho các điểm cuối trong một môi trường được quản lý.
Bảng 1. Trạng thái cấu hình khuyến nghị của Windows Firewall
Ngoài ra, để đảm bảo rằng chỉ các quy tắc tường lửa được quản lý tập trung được thực thi trong một sự kiện ngăn chặn và không bị thay đổi bởi tác nhân độc hại, cài đặt cho “Apply local firewall rules” và “Apply local connection security rules” phải được đặt thành “NO” như Hình 1.
Hình 1. Cài đặt tùy chỉnh cấu hình tường lửa miền của Windows
Khi hệ thống xảy ra tấn công mã hoá dữ liệu, để nhanh chóng kiểm soát và cô lập các hệ thống bị nghi ngờ, tính năng “Block all connections” của tường lửa Windows (Hình 2) sẽ ngăn mọi kết nối đến hệ thống được thiết lập. Đây là cài đặt có thể dễ dàng được áp dụng trên máy trạm, laptop - nhưng có thể ảnh hưởng đến hoạt động thông thường của hệ thống nếu được áp dụng cho máy chủ; tuy nhiên, nếu ransomware đang lan rộng trong một môi trường, điều này có thể là bước cần thiết để kiểm soát một cách nhanh chóng.
Hình 2. Cài đặt “Block all connections” của tường lửa Windows
Lưu ý: Khi sự kiện đã được kiểm soát và được xem xét là “an toàn” để thiết lập lại kết nối giữa các hệ thống trong một môi trường, thông qua chính sách nhóm (Group Policy), cài đặt “Inbound Connections” có thể được thay đổi trở lại thành “Allow” nếu cần thiết.
Các giao thức và cổng được liệt kê trong Bảng 2 đại diện cho những con đường phổ biến nhất mà những kẻ tấn công hoặc các tác nhân đe dọa sử dụng để di chuyển qua mạng khi chúng tìm kiếm dữ liệu quý giá trên hệ thống. Nếu việc chặn tất cả kết nối đến cho các điểm cuối thông thường không khả thi, ít nhất, các giao thức và cổng được liệt kê trong Bảng 2 nên được xem xét để chặn bằng cách sử dụng tường lửa Windows.
Bảng 2. Các quy tắc chặn đề xuất của tường lửa Windows
Đối với bất kỳ ứng dụng cụ thể nào có thể yêu cầu kết nối đến các điểm cuối, người dùng cuối, chính sách tường lửa trên máy của người dùng nên được cấu hình để cho phép các địa chỉ IP cụ thể của những hệ thống được phép kết nối vào.
Bên cạnh đó, tường lửa Windows có thể được cấu hình để chặn các chương trình thực hiện các kết nối ra bên ngoài. Trong quá trình phân tích các sự kiện ransomware, một số các tập tin hợp lệ của Windows được kẻ tấn công sử dụng để tải về các mã độc và công cụ mã hóa từ cả nội bộ và các vị trí bên ngoài. Để bảo vệ chống lại chiến thuật này, một tổ chức có thể tận dụng một loạt các quy tắc của tường lửa Windows để chặn các chương trình thực hiện kết nối ra bên ngoài. Ví dụ: powershell. exe và bitsadmin.exe. Hình 3 thể hiện cấu hình các quy tắc tường lửa Windows để từ chối khả năng các chương trình cụ thể thiết lập kết nối ra ngoài từ một điểm cuối.
Hình 3. Quy tắc tường lửa Windows để chặn các chương trình cụ thể không thực kết nối ra bên ngoài
Giao thức máy tính từ xa (RDP_ Remote Desktop Protocol) thường được tận dụng để có quyền truy cập từ xa vào hệ thống và triển khai phần mềm độc hại. Các hệ thống có RDP kết nối với Internet phải đối mặt với rủi ro ngày càng cao. Những kẻ tấn công có thể tận dụng RDP để xâm nhập tổ chức, di chuyển trong hệ thống mạng, thực hiện các cuộc tấn công bằng ransomware và lấy cắp dữ liệu.
Để đảm bảo an toàn, hệ thống kết nối đến Internet cần được đánh giá, rà quét để phát hiện các hệ thống có RDP (TCP/3389) và các giao thức khác (chẳng hạn như SMB - TCP/445) có thể truy cập được từ Internet. Ít nhất, RDP và SMB không được tiếp xúc trực tiếp với lưu lượng truy cập vào và ra đến/từ Internet. Nếu cần thiết cho nhu cầu vận hành, cần triển khai các biện pháp kiểm soát rõ ràng để hạn chế các nguồn địa chỉ IP có thể tương tác với các hệ thống sử dụng các giao thức này. Một số giải pháp nhằm gia cố cho các hệ thống bắt buộc triển khai giao thức RDP bao gồm:
- Giải pháp xác thực đa yếu tố: Giải pháp này có thể được thực thi thông qua tích hợp với các giải pháp xác thực đa yếu tố của bên thứ ba hoặc bằng cách sử dụng Cổng máy tính từ xa và Máy chủ xác thực đa yếu tố Azure với RADIUS.
- Xác thực cấp mạng (NLA_ Network Level Authentication): Giải pháp này cung cấp thêm một lớp xác thực trước cho các máy chủ RDP, tăng cường bảo mật bằng cách yêu cầu xác thực trước khi thiết lập kết nối nhằm giảm thiểu các cuộc tấn công vét cạn. Việc cấu hình NLA (Hình 4) có thể được thực hiện thông qua Giao diện người dùng (UI) hoặc chính sách nhóm.
Hình 4. Bật Xác thực cấp mạng (NLA)
Như chúng ta đã biết, chia sẻ quản trị (administrative shares) là các chia sẻ mạng ẩn mà hệ điều hành Windows tự động tạo ra để cho phép quản trị viên truy cập từ xa vào hệ thống.
Các chia sẻ này thường không hiển thị khi duyệt qua mạng nhưng vẫn có thể được truy cập nếu biết tên chia sẻ và có quyền phù hợp. Một số biến thể của ransomware sẽ cố gắng xác định các chia sẻ quản trị, bao gồm những chia sẻ không được ánh xạ một cách rõ ràng vào một ký tự ổ đĩa cụ thể và sử dụng chúng để kết nối đến các điểm cuối trong toàn bộ môi trường. Để tăng cường kiểm soát, các tổ chức có thể vô hiệu hóa nhanh chóng các chia sẻ mặc định quản trị hoặc ẩn để không thể truy cập trên các điểm cuối. Điều này có thể được thực hiện bằng cách sửa đổi registry, dừng dịch vụ, hoặc bằng cách sử dụng mẫu chính sách nhóm Các chia sẻ quản trị và ẩn thông thường trên các điểm cuối bao gồm: ADMIN$; C$; D$; IPC$. Vô hiệu hóa chia sẻ quản trị và ẩn trên máy chủ, đặc biệt là Domain Controllers, có thể ảnh hưởng đáng kể đến hoạt động và chức năng của các hệ thống trong một môi trường dựa trên miền. Ngoài ra, nếu PsExec được sử dụng trong một môi trường, việc vô hiệu hóa chia sẻ quản trị (ADMIN$) có thể hạn chế khả năng sử dụng công cụ này để tương tác từ xa với các điểm cuối.
Phương pháp Registry: Sử dụng Registry, các chia sẻ quản trị và ẩn có thể được vô hiệu hóa trên các điểm cuối (Hình 5 và Hình 6).
Hình 5. Giá trị Registry để vô hiệu hóa các chia sẻ quản trị trên các máy trạm
Hình 6. Giá trị Registry để vô hiệu hóa các chia sẻ quản trị trên các máy chủ
*Còn nữa...
Trần Nhật Long - Trung tâm Công nghệ thông tin và Giám sát an ninh mạng và Nguyễn Văn Khoa - Đại học Kỹ thuật - Hậu cần Công an nhân dân
13:00 | 30/07/2024
11:00 | 23/06/2024
20:00 | 07/06/2024
07:00 | 07/11/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh mua sắm trực tuyến ngày càng trở nên phổ biến, các thủ đoạn lừa đảo cũng đang ngày càng tinh vi và thường nhắm vào những người tiêu dùng bất cẩn. Những nạn nhân này thường có thói quen mua sắm trực tuyến thường xuyên, nhưng lại thiếu chú ý đến các phương thức thanh toán trước khi hoàn tất giao dịch. Cục An toàn thông tin (Bộ TT&TT) vừa đưa ra cảnh báo về các chiêu trò lừa đảo phổ biến, đặc biệt trong dịp cuối năm khi nhu cầu mua sắm tăng cao.
08:00 | 12/12/2024