Xử lý sự cố sau khi bị tấn công

DiepNV88

VIP Members
24/09/2013
369
1.552 bài viết
Xử lý sự cố sau khi bị tấn công
Với bất kỳ anh em nào mới làm việc liên quan đến lĩnh vực công nghệ thông tin thì việc xảy ra sự cố do lỗi hệ thống hay bị tấn công từ bên ngoài đều rất lúng túng hay lo lắng khi khắc phục xử lý sự cố.

DUUjQvK.jpg


Ở đây chúng ta không nhắc tới các lỗi hệ thống như lỗi do lập trình viên, lỗi cấu hình sai ví dụ như đặt session timeout load một website quá thấp cũng khiến người truy cập bị lỗi nếu website đó cồng kềnh và load chậm hơn thời gian đặt cho session timeout. Lỗi hệ thống thì rất nhiều và bất cứ ai làm việc trong ngành IT đều gặp phải và hầu như đều được xử lý bằng kinh nghiệm hoặc từ những chia sẻ online, offline của người khác.

Đến với chủ đề chính trong bài viết này là việc điều tra xử lý khắc phục sự cố khi bị hệ thống của bạn (webiste, server, các thiết bị IT .... ) bị tấn công làm gián đoạn dịch vụ gây tổn thất về kinh tế.
Khác với lỗi hệ thống là nguyên nhân sự cố xuất phát từ bên trong gây ra nên với hệ thống bị tấn công chúng ta khó có thể khẳng định sau khi xử lý xong hệ thống có tiếp tục bị tấn công tiếp hay không và phòng tránh như thế nào. Các vấn đề đặt ra khi xử lý sự cố hệ thống thông tin bị tấn công là phải tìm ra nguyên nhân, hướng khắc phục và cách phòng chống tấn công trong tương lai.

NBXjctg.jpg


Đến với nguyên nhân bị tấn công, mỗi hệ thống riêng biệt luôn tồn tại các lỗ hổng an ninh bên trong. Có rất nhiều nguyên nhân nhưng nếu kể ra thì khá chung chung và seach google cũng khá nhiều đọc mỏi mắt nên ở bài này mình sẽ lấy ví dụ từng trường hợp cụ thể để các bạn dễ hình dung hơn:

- Ví dụ đơn giản đầu tiên là một website bị tấn công thay đổi nội dung hay giao diện người dùng và có thể toàn bộ dữ liệu (database) bị lấy cắp. Vậy nguyên nhân khiến webiste bị tấn công là gì ?
+ Nguyên nhân do con người: người quản trị bị đánh cắp user và mật khẩu :
Hình thức tấn công lấy cắp user ở đây có thể do người dùng đặt mật khẩu yếu hay mở email kèm mã độc nên máy tính cá nhân bị xâm nhập mất dữ liệu. Nguyên nhân này hiện rất phổ biến nhưng hầu như không được để ý lên hàng đầu. Nếu có quy trình xử lý sự cố thì các doanh nghiệp nên đặt mục này lên đầu.
=> Việc khắc phục cũng khá đơn giản như cài phần mềm diệt virus, hướng dẫn sử dụng mật khẩu mạnh, sử dụng các công cụ lọc mail chứa mã độc cho server mail, hạn chế dùng mail cá nhân khi làm việc ở công ty, sử dụng phần mềm và hệ điều hành có bản quyền.

=> Xử lý đối với webiste khi bị rò rỉ tài khoản người dùng như thế nào để tránh bị tấn công cùng một kiểu cho lần tiếp theo: Trước tiên cần xác định thiệt hại của vụ tấn công, những phần nào của webiste bị ảnh hưởng như giao diện, dữ liệu.... dữ liệu nào bị lấy cắp.

=> Giữ nguyên hiện trường để kiểm tra, có thể offline website hoặc server để tránh bị hacker quay lại xóa dấu vết.

=>Xác định dấu chân hacker đặt tới đâu trong hệ thống qua thiệt hại mà chúng gây ra ví dụ như nếu website của bạn bị xóa hết dữ liệu, thay đổi nội dung thì khả năng database bị can thiệp và cần xác đinh can thiệp như thế nào qua việc kiểm tra các user mới tạo hay nguyên nhân do các user cũ có quyền can thiệp gây ra.
Mục đích việc xác định dấu chân hacker để chúng ta có những thay đổi cần thiết trong dữ liệu nhằm xóa cửa hậu cho các vụ tấn công tiếp theo.

+ Nguyên nhân do website tồn tại lỗ hổng bảo mật:
Tồi tệ hơn là webiste bạn đang tồn tại các lỗ hổng khiến hacker lợi dụng để tấn công vào bên trong hệ thống. Việc thay đổi giao diện webiste thông qua khai thác exploit có thể thông qua 2 hình thức như tạo user mới với quyền admin control của website hoặc upload shell chiếm quyền kiểm soát server gây tổn thương hệ thống website và database.
=> Nếu website của bạn đang sử dụng mã nguồn mở thì việc đầu tiên là xác định version của website và các module đang chạy. Nếu tò mò hơn các bạn có thể tìm các exploit đang tồn tại trên phiên bản đang chạy ví dụ: seach google
Mã:
exploits joomla 3.9.1
Tiếp theo, bạn cần update lên phiên bản mới nhất cho website và các module (extension) ngay lập tức. Việc backup lại website mà không tiến hành update sẽ dẫn tới nguy cơ bị tấn công lần tiếp theo khi mà các vụ tấn công qua khai thác lỗ hổng đang tự động hóa bằng các công cụ scan của hacker.
=> Với những website tùy biến theo mã nguồn tự viết của lập trình viên thì việc rà soát lại code sẽ khá vất vả. Cách xử lý nhanh nhất là backup lại website sau đó sử dụng các công cụ scan lỗ hổng mạnh để kiểm tra như Acunetix sau đó xử lý các lỗi do công cụ này tìm được, nếu có điều kiện hơn có thể thuê các công ty làm an ninh mạng hỗ trợ tìm và sửa lỗi.

- Vừa rồi là ví dụ về website bị tấn công, còn đối với hệ thống cụ thể là server chạy dịch vụ hay các thiết bị IT như route, switch, các thiết bị thông minh .... thì sao? Hai nguyên nhân chính cũng xuất phát từ người dùng và hệ thống an ninh kèm khi tồn tại các lỗ hổng để hacker khai thác.
+ Đối với người dùng thì việc bị rò rỉ tài khoản hay dữ liệu là do kiến thức cũng như ý thức người dùng, việc xử lý cũng không khác phần trên. Đối với các bạn làm quản trị mạng việc nắm trong tay nhiều tài khoản quản trị quan trọng cần chú ý việc lưu trữ các tài khoản này sao cho an toàn như là dùng các công cụ lưu trữ mật khẩu ví dụ KeePass hoặc mã hóa ổ cứng chứa dữ liệu quan trọng (key, tài liệu...)
=> Việc xử lý khi bị tấn công do rò rỉ tài khoản người dùng khá quan trọng vì có thể một server chứa rất nhiều dịch vụ chạy trên nó và thiệt hại rất lớn nếu server bị gián đoạn.
Rà soát các tài khoản có sẵn và mới tạo trên hệ thống, xác định tài khoản can thiệp gây thiệt hại trong vụ tấn công qua đó khoanh vùng đối tượng đang có nguy cơ làm rò rỉ dữ liệu và xử lý bằng cách vô hiệu hóa các user bị nghi ngờ.
Ví dụ user kết nối vào database có những hành vi gây thiệt hại vào dữ liệu máy chủ thì có thể xác định được người sở hữu user đó bị hacker tấn công lấy cắp tài khoản, từ đó tiếp tục tìm ra nguyên nhân nhân viên đó bị mất tài khoản như mở mail chứa mã độc hoặc lưu trữ mật khẩu không đúng cách.

=> Scan toàn bộ hệ thống bằng các công cụ có sẵn để tìm kiếm shell hoặc mã độc cài cắm để hủy đi cửa hậu cho lần tấn công tiếp theo của hacker. Với hệ điều hành Windows chúng ta có sẵn các phần mềm diệt Virus nên scan dễ dàng còn đối với hệ thống chạy Linux cũng có những phần mềm hỗ trợ đắc lực như:

EqsbP36.png


1. Lynis – Security Auditing and Rootkit Scanner
2. Chkrootkit – A Linux Rootkit Scanners
3. Rkhunter – A Linux Rootkit Scanners
4. ClamAV – Antivirus Software Toolkit
5. LMD – Linux Malware Detect
Việc cài đặt sẵn các công cụ scan khá quan trọng giúp việc xử lý khi bị tấn công diễn ra nhanh hơn, giảm thời gian hệ thống bị gián đoạn.
+ Với hệ thống bị khai thác do tồn tại các lỗ hổng phần mềm, việc đầu tiên các bạn cần update lại toàn bộ hệ thống lên version mới nhất. Ngoài việc update hệ điều hành thì các dịch vụ chạy trên hệ điều hành đó cũng cần update ví dụ phiên bản apache, database, DNS... và các dịch vụ con đang chạy trên hệ thống.
Các thiết bị mạng như route, switch, modem.... cũng đang bị khai thác nhiều trong các vụ tấn công mạng nên việc update firmware mới nhất từ nhà sản xuất cũng quan trọng.

Trên đây là những chú ý để các bạn có thể xử lý hoặc bổ sung vào quy trình xử lý sự cố khi bị tấn công vào hệ thống thông tin của mình.

- Vấn đề xác định nguồn gốc và đối tượng tấn công vào hệ thống thông tin cũng khá quan trọng nhưng hầu như bị xóa dấu vết nếu hacker có trình độ. Việc điều tra cần sử dụng những công cụ hỗ trợ để giảm thời gian và tăng tỉ lệ tìm ra nguồn gốc tấn công vào hệ thống.

UTrMMCH.png


+ Một số trường hợp server không bị tắt từ lúc tấn công tới lúc kiểm tra các bạn có thể dump lại nhật ký login ví dụ trên CentOS có các công cụ sau:
  • /var/run/utmp (which logs currently open sessions) is used by who and w tools to show who is currently logged on and what they are doing, and also by uptime to display system up time.
  • /var/log/wtmp (which stores the history of connections to the system) is used by last tool to show the listing of last logged-in users.
  • /var/log/btmp (which logs failed login attempts) is used by lastb utility to show the listing of last failed login attempts.
Công cụ có sẵn trên Windows như: Windows Event Viewer
Việc xác định ra ip tấn công có thể không chính xác, có thể ip bị fake nhưng khá là hay với các bạn làm điều tra số (forensic).
Trên đây là những chia sẻ theo kinh nghiệm của mình, nếu các bạn hứng thú có thể đóng góp cũng như phê bình để mọi người cùng học hỏi nâng cao kiến thức.
 
Chỉnh sửa lần cuối bởi người điều hành:
Bên trên