Ý kiến thăm dò

Bạn quan tâm đến chuyên mục nào trên trang?

Truy cập

Hôm nay:
1903
Hôm qua:
5727
Tuần này:
7630
Tháng này:
79366
Tất cả:
6910590

Hướng dẫn: RÀ QUÉT, XỬ LÝ, BÓC GỠ CHIẾN DỊCH TẤN CÔNG MẠNG CÓ CHỦ ĐÍCH (APT) QUY MÔ LỚN

Ngày 31/10/2019 15:38:44

Trong thời gian gần đây tình hình mất an toàn thông tin đang diễn biến phức tạp và có chiều hướng gia tăng về tần suất và số lượng các cuộc tấn công xâm nhập vào hệ thống thông tin. Theo thông tin cảnh báo từ Cục An toàn thông tin, Bộ Thông tin và Truyền thông về việc phát hiện và ghi nhận chiến dịch tấn công mạng có chủ đích (APT) với máy chủ điều khiển đặt bên ngoài lãnh thổ Việt Nam đã phát tán mã độc quy mô lớn nhằm vào các hệ thống thông tin của các cơ quan Chính phủ và chủ quản hệ thống thông tin hạ tầng quan trọng quốc gia tại Việt Nam. Hiện nay Cục An toàn thông tin đã xác định được hơn 400,000 địa chỉ IP bị lây nhiễm với hơn 16 biến thể của mã độc trong chiến dịch này. Qua phân tích các loại mã độc này sau khi lây nhiễm vào hệ thống mạng, tin tặc có thể đánh cắp thông tin, tấn công mạng leo thang đặc quyền gây ra nhiều hậu quả nghiêm trọng, gây mất an toàn thông tin.

Để tăng cường chủ động phòng ngừa các rủi ro do hình thức tấn công trên có thể xảy ra, với chức năng và nhiệm vụ đảm bảo an toàn thông tin mạng trên địa bàn tỉnh được Chủ tịch UBND tỉnh, Giám đốc Sở Thông tin và Truyền thông giao, Trung tâm Công nghệ thông tin và Truyền thông, thuộc Sở Thông tin và truyền thông Thanh Hóa đề nghị các cơ quan, địa phương trên địa bàn tỉnh chỉ đạo các bộ phận, cán bộ liên quan thực hiện khẩn trương các nội dung sau:
1. Tuyên truyền, phổ biến sâu rộng cho toàn thể cán bộ trong cơ quan, đơn vị về nguy cơ mất an toàn thông tin do ảnh hưởng của chiến dịch tấn công có chủ đích trên, cũng như khẩn trương nhanh chóng hướng dẫn người sử dụng tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
2. Thực hiện nghiêm túc các văn bản đã ban hành trong thời gian qua về công tác đảm bảo an toàn thông tin mạng trên địa bàn như: Quyết định số 1293/20 17/QĐ-UBND ngày 26/4/2017; Chỉ thị số 22/CT-UBND,  ngày 19/10/2015, Quyết định số 3380/2013/QĐ-UBND ngày 30/9/2013, … của UBND tỉnh và các văn bản hướng dẫn, hỗ trợ kỹ thuật của Sở Thông tin và Truyền thông, của Trung tâm Công nghệ thông tin và Truyền thông.
3. Triển khai tổ chức theo dõi, giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách sau đây:
Danh sách các tên miền/IP máy chủ điều khiển mã độc (C&C Server)
STTC&CSTTC&C
1adobephotostage.com28207.148.12.47
2olk4.com29149.28.74.41
3apple-net.com30207.148.78.101
4wbemsystem.com31149.28.74.149
5yahoorealtors.com3250.63.202.59
6airdndvn.com33198.54.117.200
7officeproduces.com34198.54.117.199
8web.adobephotostage.com35198.54.117.197
9Web.officeproduces.com36198.54.117.198
10Up.officeproduces.com37162.255.119.150
11We.officeproduces.com38167.88.180.148
12Download.officeproduces.com39167.88.177.224
13geocities.jp40167.88.180.3
14update.olk4.com4145.248.87.14
15www.cab-sec.com4291.195.240.117
16167.88.178.2443103.224.182.250
1743.254.217.6744167.88.177.224
18154.221.24.4745167.88.178.24
19144.202.54.8646185.239.226.19
2050.63.202.9447185.239.226.19
2150.63.202.674845.77.209.52
2250.63.202.8249167.88.178.118
23184.168.221.9450185.239.226.61
24184.168.221.825145.77.184.12
25184.168.221.7152167.88.178.118
2650.63.202.7353185.239.226.61
2745.32.50.1505445.77.184.12
Danh sách mã băm (HashMD5)
STTMã băm – MD5
1165F8683681A4B136BE1F9D6EA7F00CE
29FF1D3AF1F39A37C0DC4CEEB18CC37DC
34FE276EDC21EC5F2540C2BABD81C8653
443067F28DC5208D4A070CF3CC92E29FB
511ADDA734FC67B9CFDF61396DE984559
608F25A641E8361495A415C763FBB9B71
701D74E6D9F77D5202E7218FA524226C4
86198D625ADA7389AAC276731CDEBB500
99B39E1F72CF4ACFFD45F45F08483ABF0
10748DE2B2AA1FA23FA5996F287437AF1B
115F094CB3B92524FCED2731C57D305E78
129A180107EFB15A00E64DB3CE6394328D
1305CF906B750EB335125695DA42F4EAFC
14F62DFC4999D624D01E94B89946EC1036
15CA775717D000888A7F71A5907B9C9208
16AA115F20472E78A068C1BBF739C443BF
17CE78EA4ED30DBDF6BEA66561636298F0
18684EE90242C8552561EE58EE66016640
19B9C10D6E459061CA6304BCCD7C94A471
Hướng dẫn rà quét, xử lý, bóc gỡ mã độc chiến dịch tấn công mạng có chủ đích (APT)
Bước 1. Tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
– Sau khi truy cập vào đường dẫn trên trình duyệt, công cụ rà quét và gỡ bỏ mã độc APT sẽ tự download về máy tính.
– Click đúp chuột vào công cụ mới tải về để Cài đặt/ chọn “Yes”.
Bước 2: Rà quét và gỡ bỏ mã độc APT:
– Tiến hành “Quét” lần lượt (tick theo hai tùy chọn 1 và 1’ như hình)
Bước 3: Tiến hành ngăn chặn các kết nối đến 54 địa chỉ tên miền/IP máy chủ điều khiển
Cách 1: Cập nhật các luật để ngăn chặn kết nối trên thiết bị mạng (Modem, Router, Firewall) tại hệ thống của cơ quan, đơn vị.
Cách 2: Trên các máy chủ, máy tính cá nhân trong cơ quan, đơn vị bằng cách khai báo tùy chọn ngăn chặn kết nối trên phần mềm tường lửa cá nhân (Windows Firewall) hoặc các chức năng tương ứng tích hợp trong phần mềm AntiVirus cài đặt trên máy tính.
Cách 3: Triển khai phần mềm giám sát An toàn thông tin trong nội bộ cơ quan để giám sát và triển khai ngăn chặn, loại bỏ kết nối đến các địa chỉ trên.
Bước 4. Hướng dẫn kiểm tra mã hash MD5:
a) Download phần mềm tại:
http://www.nirsoft.net/utils/hashmyfiles.zip       
b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File -> Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Thực hiện đối chiếu mã MD5 và SHA-1 tương ứng trong Công văn đi kèm và làm bước 2 hướng dẫn gỡ bỏ tệp tin.
Bước 5: Phát hiện mã độc
a) Tắt kết nối mạng trên máy bị nhiễm để cô lập khỏi hệ thống mạng của đơn vị
b) Liên hệ Trung tâm qua thông tin sau để hỗ trợ xử lý:
  Tổ Ứng cứu xử lý sự cố – Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa để phối hợp xử lý.
Điện thoại: (0237) 3.718.699;
Đường dây nóng: 0916.422.583 (đ/c Trần Ngọc Hưng – Trưởng phòng Quản trị hệ thống);
Hộp thư điện tử tiếp nhận báo cáo sự cố: ungcuusuco@thanhhoa.gov.vn.

Hướng dẫn: RÀ QUÉT, XỬ LÝ, BÓC GỠ CHIẾN DỊCH TẤN CÔNG MẠNG CÓ CHỦ ĐÍCH (APT) QUY MÔ LỚN

Đăng lúc: 31/10/2019 15:38:44 (GMT+7)

Trong thời gian gần đây tình hình mất an toàn thông tin đang diễn biến phức tạp và có chiều hướng gia tăng về tần suất và số lượng các cuộc tấn công xâm nhập vào hệ thống thông tin. Theo thông tin cảnh báo từ Cục An toàn thông tin, Bộ Thông tin và Truyền thông về việc phát hiện và ghi nhận chiến dịch tấn công mạng có chủ đích (APT) với máy chủ điều khiển đặt bên ngoài lãnh thổ Việt Nam đã phát tán mã độc quy mô lớn nhằm vào các hệ thống thông tin của các cơ quan Chính phủ và chủ quản hệ thống thông tin hạ tầng quan trọng quốc gia tại Việt Nam. Hiện nay Cục An toàn thông tin đã xác định được hơn 400,000 địa chỉ IP bị lây nhiễm với hơn 16 biến thể của mã độc trong chiến dịch này. Qua phân tích các loại mã độc này sau khi lây nhiễm vào hệ thống mạng, tin tặc có thể đánh cắp thông tin, tấn công mạng leo thang đặc quyền gây ra nhiều hậu quả nghiêm trọng, gây mất an toàn thông tin.

Để tăng cường chủ động phòng ngừa các rủi ro do hình thức tấn công trên có thể xảy ra, với chức năng và nhiệm vụ đảm bảo an toàn thông tin mạng trên địa bàn tỉnh được Chủ tịch UBND tỉnh, Giám đốc Sở Thông tin và Truyền thông giao, Trung tâm Công nghệ thông tin và Truyền thông, thuộc Sở Thông tin và truyền thông Thanh Hóa đề nghị các cơ quan, địa phương trên địa bàn tỉnh chỉ đạo các bộ phận, cán bộ liên quan thực hiện khẩn trương các nội dung sau:
1. Tuyên truyền, phổ biến sâu rộng cho toàn thể cán bộ trong cơ quan, đơn vị về nguy cơ mất an toàn thông tin do ảnh hưởng của chiến dịch tấn công có chủ đích trên, cũng như khẩn trương nhanh chóng hướng dẫn người sử dụng tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
2. Thực hiện nghiêm túc các văn bản đã ban hành trong thời gian qua về công tác đảm bảo an toàn thông tin mạng trên địa bàn như: Quyết định số 1293/20 17/QĐ-UBND ngày 26/4/2017; Chỉ thị số 22/CT-UBND,  ngày 19/10/2015, Quyết định số 3380/2013/QĐ-UBND ngày 30/9/2013, … của UBND tỉnh và các văn bản hướng dẫn, hỗ trợ kỹ thuật của Sở Thông tin và Truyền thông, của Trung tâm Công nghệ thông tin và Truyền thông.
3. Triển khai tổ chức theo dõi, giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách sau đây:
Danh sách các tên miền/IP máy chủ điều khiển mã độc (C&C Server)
STTC&CSTTC&C
1adobephotostage.com28207.148.12.47
2olk4.com29149.28.74.41
3apple-net.com30207.148.78.101
4wbemsystem.com31149.28.74.149
5yahoorealtors.com3250.63.202.59
6airdndvn.com33198.54.117.200
7officeproduces.com34198.54.117.199
8web.adobephotostage.com35198.54.117.197
9Web.officeproduces.com36198.54.117.198
10Up.officeproduces.com37162.255.119.150
11We.officeproduces.com38167.88.180.148
12Download.officeproduces.com39167.88.177.224
13geocities.jp40167.88.180.3
14update.olk4.com4145.248.87.14
15www.cab-sec.com4291.195.240.117
16167.88.178.2443103.224.182.250
1743.254.217.6744167.88.177.224
18154.221.24.4745167.88.178.24
19144.202.54.8646185.239.226.19
2050.63.202.9447185.239.226.19
2150.63.202.674845.77.209.52
2250.63.202.8249167.88.178.118
23184.168.221.9450185.239.226.61
24184.168.221.825145.77.184.12
25184.168.221.7152167.88.178.118
2650.63.202.7353185.239.226.61
2745.32.50.1505445.77.184.12
Danh sách mã băm (HashMD5)
STTMã băm – MD5
1165F8683681A4B136BE1F9D6EA7F00CE
29FF1D3AF1F39A37C0DC4CEEB18CC37DC
34FE276EDC21EC5F2540C2BABD81C8653
443067F28DC5208D4A070CF3CC92E29FB
511ADDA734FC67B9CFDF61396DE984559
608F25A641E8361495A415C763FBB9B71
701D74E6D9F77D5202E7218FA524226C4
86198D625ADA7389AAC276731CDEBB500
99B39E1F72CF4ACFFD45F45F08483ABF0
10748DE2B2AA1FA23FA5996F287437AF1B
115F094CB3B92524FCED2731C57D305E78
129A180107EFB15A00E64DB3CE6394328D
1305CF906B750EB335125695DA42F4EAFC
14F62DFC4999D624D01E94B89946EC1036
15CA775717D000888A7F71A5907B9C9208
16AA115F20472E78A068C1BBF739C443BF
17CE78EA4ED30DBDF6BEA66561636298F0
18684EE90242C8552561EE58EE66016640
19B9C10D6E459061CA6304BCCD7C94A471
Hướng dẫn rà quét, xử lý, bóc gỡ mã độc chiến dịch tấn công mạng có chủ đích (APT)
Bước 1. Tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
– Sau khi truy cập vào đường dẫn trên trình duyệt, công cụ rà quét và gỡ bỏ mã độc APT sẽ tự download về máy tính.
– Click đúp chuột vào công cụ mới tải về để Cài đặt/ chọn “Yes”.
Bước 2: Rà quét và gỡ bỏ mã độc APT:
– Tiến hành “Quét” lần lượt (tick theo hai tùy chọn 1 và 1’ như hình)
Bước 3: Tiến hành ngăn chặn các kết nối đến 54 địa chỉ tên miền/IP máy chủ điều khiển
Cách 1: Cập nhật các luật để ngăn chặn kết nối trên thiết bị mạng (Modem, Router, Firewall) tại hệ thống của cơ quan, đơn vị.
Cách 2: Trên các máy chủ, máy tính cá nhân trong cơ quan, đơn vị bằng cách khai báo tùy chọn ngăn chặn kết nối trên phần mềm tường lửa cá nhân (Windows Firewall) hoặc các chức năng tương ứng tích hợp trong phần mềm AntiVirus cài đặt trên máy tính.
Cách 3: Triển khai phần mềm giám sát An toàn thông tin trong nội bộ cơ quan để giám sát và triển khai ngăn chặn, loại bỏ kết nối đến các địa chỉ trên.
Bước 4. Hướng dẫn kiểm tra mã hash MD5:
a) Download phần mềm tại:
http://www.nirsoft.net/utils/hashmyfiles.zip       
b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File -> Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Thực hiện đối chiếu mã MD5 và SHA-1 tương ứng trong Công văn đi kèm và làm bước 2 hướng dẫn gỡ bỏ tệp tin.
Bước 5: Phát hiện mã độc
a) Tắt kết nối mạng trên máy bị nhiễm để cô lập khỏi hệ thống mạng của đơn vị
b) Liên hệ Trung tâm qua thông tin sau để hỗ trợ xử lý:
  Tổ Ứng cứu xử lý sự cố – Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa để phối hợp xử lý.
Điện thoại: (0237) 3.718.699;
Đường dây nóng: 0916.422.583 (đ/c Trần Ngọc Hưng – Trưởng phòng Quản trị hệ thống);
Hộp thư điện tử tiếp nhận báo cáo sự cố: ungcuusuco@thanhhoa.gov.vn.