NHẬN DIỆN HOẠT ĐỘNG CỦA MỘT SỐ MẠNG BOTNET, APT, MÃ ĐỘC TẠI VIỆT NAM

Mạng botnet Sality hay còn gọi là KuKu, là một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại và được điều khiển bởi tin tặc từ xa. Một mạng botnet có thể bao gồm hàng trăm nghìn, thậm chí hàng triệu máy tính. Mỗi bot đóng vai trò như một công cụ để phát tán mã độc, virus và tấn công DDoS. Loại mã độc này tấn công vào các máy tính sử dụng hệ điều hành Windows.

APT (Advanced Persistent Threat) là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao có chủ đích nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn.

Thông thường các mạng botnet hoạt động dựa trên sự chỉ đạo của Bot Master thông qua các máy chủ C&C. Trong đó các máy tính nhiễm mã độc sẽ trở thành Bot và nhận lệnh điều khiển từ C&C Server. Các lệnh điều khiển thường là tấn công DDoS, phát tán mã độc, gửi tin nhắn spam... Mạng botnet Sality chủ yếu để phát tán thư rác, tạo các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.

Hình thức tấn công DDoS botnet xuất hiện với tần suất cao và quy mô lớn. Theo đó, tin tặc sử dụng một lượng lớn bot để gửi hàng loạt yêu cầu truy cập đến mục tiêu, đẩy hệ thống vào trạng thái quá tải, tiêu tốn hết băng thông và khiến cho các dịch vụ mạng không thể hoạt động. Có hai hình thức tấn công DDoS botnet phổ biến hiện nay là TCP SYN và UDP flood. Để tăng cường khả năng tấn công, tin tặc thường kết hợp với việc sử dụng HTTP flood hay còn được gọi là spidering nhằm tấn công đối tượng trên web gây ra tình trạng đình trệ hoạt động của hệ thống hoặc dịch vụ mạng.

Ngoài ra, DDoS botnet còn làm gián đoạn các dịch vụ trực tuyến của cơ quan, tổ chức, doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây khó khăn trong quá trình sử dụng và tạo trải nghiệm không tốt cho người dùng, ảnh hưởng rất lớn đến với uy tín và doanh thu của cơ quan, tổ chức, doanh nghiệp.

Theo báo cáo thống kê kết nối chia sẻ dữ liệu về mã độc, giám sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến tháng 3/2024 đã ghi nhận 364.369 địa chỉ IP của Việt Nam nằm trong mạng botnet (giảm 32.78% so với tháng 01/2024), trong đó có 95 địa chỉ IP của cơ quan, tổ chức nhà nước (6 địa chỉ IP Bộ/Ngành, 89 địa chỉ IP Tỉnh/Thành).

Hình 1. Một số cơ quan, địa phương có địa chỉ IP nằm trong mạng botnet

MỘT SỐ LỖ HỔNG TỒN TẠI TRÊN MÁY TÍNH CỦA CÁC CƠ QUAN TỔ CHỨC VÀ TRÊN CÁC SẢN PHẨM/DỊCH VỤ PHỔ BIẾN TẠI VIỆT NAM

Theo thống kê của NCSC, chỉ tính riêng tháng 3/2024, hệ thống kỹ thuật của NCSC đã ghi nhận có 76.507 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn, do đó, Cục An toàn thông tin đã chỉ đạo NCSC triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/Ngành khắc phục. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công APT. Bảng 1 thể hiện một số lỗ hổng vẫn còn tồn tại trên nhiều máy chưa được xử lý.

Bảng 1. Một số lỗ hổng đang tồn tại trên nhiều máy tính

Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận. Thống kê TOP 6 kết nối nghi ngờ phát sinh phổ biến như Bảng 2.

Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại

Một số lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại Việt Nam: Totolink: CVE-2022-25134, CVE[1]2022-25133; Huawei: CVE-2021-40043, CVE-2021- 22441,Foxit: CVE-2022-24356, CVE-2022-24368; TP-Link: CVE-2022-22922, CVE-2022-24354; IBM: CVE-2021-39026, CVE-2021-38935; WatchGuard: CVE-2022-23176, CVE-2022-25363; Apache: CVE-2022-24288, CVE-2021-45229.

Một số tên miền độc hại có nhiều kết nối từ Việt Nam như: differentia.ru; a.asense. in; disorderstatus.ru; ww2.bbbjdnxbgp3.ru; atomictrivia.ru; a.deltaheavy.ru; morphed.ru; sdk. asense.in; ydbnsrt.me; soplifan.ru.

MỘT SỐ ĐỀ XUẤT, KHUYẾN NGHỊ NHẰM NÂNG CAO HIỆU QUẢ CÔNG TÁC PHÒNG CHỐNG PHẦN MỀM ĐỘC HẠI VÀ CHIA SẺ DỮ LIỆU MÃ ĐỘC

Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS)

Tường lửa hoạt động như một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng đi qua. Khi có một gói tin mạng gửi đến hệ thống, tường lửa sẽ quét gói tin này và xác định liệu có hợp lệ và an toàn hay không. Nếu gói tin này không đáng tin cậy hoặc đang mang tính chất đe dọa, tường lửa sẽ không cho gói tin đó tiếp cận hệ thống.

Hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng thủ xâm nhập (IPS) là hai công nghệ chống xâm nhập được sử dụng phổ biến trong mạng và hệ thống bảo mật hiện nay. Cụ thể, IDS hoạt động bằng cách giám sát lưu lượng mạng và dữ liệu trong hệ thống, từ đó phát hiện các hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet. Điều này giúp tăng tính tự động hóa và trong việc ngăn chặn các cuộc tấn công từ botnet.

Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP) hoặc chống botnet bằng công nghệ AI Load Balancing

WAAP là tập hợp các giải pháp tiên tiến giúp bảo vệ các ứng dụng web và API khỏi các cuộc tấn công SQL injection, XSS và tấn công API. Bên cạnh đó, WAAP còn giúp doanh nghiệp chống lại các cuộc tấn công DDoS botnet. Bằng cách kiểm soát lưu lượng truy cập và xác định những hành vi không bình thường, WAAP giúp giảm thiểu tác động của tấn công lên hệ thống và duy trì tính sẵn sàng hoạt động của ứng dụng. Ngoài ra, giải pháp này còn có thể xác định và chặn các hành vi không hợp lệ từ người dùng và botnet, đồng thời giúp phát hiện các hình thức tấn công mới.

Sự kết hợp của hơn 2.300 PoP và dung lượng 2.600 Tbps của các Mạng phân phối nội dung (Content Delivery Network - CDN) liên minh cho phép hệ thống VNIS chống DDoS qua mạng phân tán toàn cầu. Khi một CDN bị tấn công, hệ thống cân bằng tải AI sẽ tự động chuyển đổi CDN đó sang một CDN khác mạnh hơn, giúp tối ưu hiệu suất truyền tải và ngăn chặn các tấn công áp đảo lưu lượng như botnet. TT IP/Domain nghi ngờ 1 cdn[.]specialtaskevents[.]com 2 near[.]flyspecialline[.]com 3 aitsatho[.]com 4 ak[.]feethach[.]com 5 four[.]startperfectsolutions[.]com 6 epicunitscan[.]info Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại

Giám sát đường truyền, giám sát lưu lượng mạng, kiểm soát truy cập

Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.

Giám sát lưu lượng mạng là một trong những phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Khi triển khai giám sát lưu lượng mạng, các công cụ và hệ thống được sử dụng để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực. Các hoạt động mạng của hệ thống được quản lý chặt chẽ để phát hiện những bất thường nhanh chóng. Những dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ một số địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp cho việc đối phó nhanh chóng và ngăn chặn các cuộc tấn công từ botnet trước khi chúng gây hậu quả lớn đối với hệ thống.