Số lượt xem: 296
Trong tình hình tấn công mạng ngày càng gia tăng cả về số lượng và mức độ tinh vi. Sự cố ATTT có thể xảy ra bất kỳ lúc nào, tại bất kỳ đâu. Khi một sự cố ATTT xảy ra, hoặc một sự kiện xảy ra mà có nguy cơ gây mất ATTT thì cần tiến hành điều tra nguyên nhân, loại bỏ mã độc/tiến trình nguy hại để khắc phục sự cố/sự kiện ATTT một cách nhanh chóng, chính xác. Hiện nay công tác thu thập thông tin (logs) trên các máy trạm/máy chủ Windows, phân tích thông tin để phục vụ điều tra, loại bỏ nguồn gốc nguy hại đang thực hiện thủ công, việc này tốn nhiều thời gian, công sức, có khả năng mắc sai sót, ảnh hưởng đến chất lượng điều tra và xử lý sự cố.
Như chúng ta đã biết, Windows là một trong những hệ điều hành phổ biến nhất trên thế giới, phổ biến cho người dùng nên Windows là mục tiêu chính cho các phần mềm độc hại tấn công. Cần thiết có một công cụ hỗ trợ tự động rà soát mã độc có thể giúp phát hiện và ngăn chặn các mối đe dọa tiềm ẩn đối với hệ thống Windows, giúp bảo vệ dữ liệu và thông tin quan trọng với mục đích ngăn chặn chúng trước khi gây ra thiệt hại lớn cho hệ thống và dữ liệu.
Hệ thống giám sát an toàn thông tin (SOC) tại CPMB đã được triển khai và tích hợp cảnh báo với hệ thống của EVNNPT, nhằm giám sát và phát hiện các dấu hiệu mất an toàn thông tin. Khi có cảnh báo về các kết nối độc hại hoặc hành vi bất thường trên máy trạm hoặc máy chủ, chuyên viên ATTT sẽ ngay lập tức tiến hành rà soát hệ thống dựa trên các cảnh báo từ EVNNPT hoặc thông qua SOAR.
Quá trình rà soát mã độc tại CPMB thực hiện với một quy trình bao gồm các bước như sau:
Bước 1: Nhận thông báo từ hệ thống SOAR: Khi có nghi ngờ về mã độc hoặc sự cố bảo mật, hệ thống SOAR sẽ tự động gửi cảnh báo đến người phụ trách, bao gồm cả IP và tên thiết bị xảy ra sự cố. (Tự động).
Bước 2: Ngắt kết nối và chặn thiết bị bị cảnh báo: Ngay khi nhận được cảnh báo từ hệ thống SOAR, thiết bị bị nghi ngờ sẽ được ngắt kết nối khỏi mạng và block để ngăn chặn mọi hoạt động liên quan đến mối đe dọa, giảm thiểu nguy cơ lây lan và bảo vệ hệ thống. (Thủ công).
Bước 3: Thực hiện theo hướng dẫn: Người phụ trách sẽ kiểm tra và làm theo các hướng dẫn cụ thể từ hệ thống SOAR hoặc tài liệu hướng dẫn đi kèm, đảm bảo mọi bước xử lý đúng quy trình. (Thủ công).
Bước 4: Quét mã độc bằng Kaspersky Antivirus: Nếu quá trình thực hiện theo hướng dẫn không mang lại kết quả, người phụ trách sẽ sử dụng công cụ quét mã độc Kaspersky Antivirus để kiểm tra toàn bộ hệ thống. (Thủ công).
Bước 5: Cài lại hệ điều hành: Trong trường hợp quá trình quét mã độc không phát hiện ra vấn đề, nhưng hệ thống vẫn có dấu hiệu bất thường, bước tiếp theo là tiến hành cài lại hệ điều hành để đảm bảo hệ thống sạch và an toàn. (Thủ công).
Hiện trạng trên có ưu điểm là tự động và nhanh, rõ ràng, dễ thực hiện; hệ thống quét virus giúp phát hiện và quét mã độc và phải cài lại hệ điều hành khi vẫn còn dấu hiệu bất thường. Việc cài lại Hệ điều hành gây mất nhiều thời gian, gián đoạn công việc; Một số các nhược điểm là các trình diệt virus có thể bỏ qua các mã độc phức tạp, không kiểm tra logs hoặc giám sát tiến trình chi tiết, dễ bỏ sót tấn công tinh vi; Không áp dụng cho mọi sự cố; cần can thiệp thủ công, phụ thuộc vào SOAR…
Tất cả những vấn đề trên dẫn đến sự cần thiết của việc nghiên cứu đề xuất xây dựng công cụ hỗ trợ rà soát mã độc trên hệ điều hành Windows. Công cụ này sẽ hỗ trợ tự động thu thập thông tin, chỉ ra các điểm nghi ngờ, giúp Điều tra viên/Cán bộ ATTT nhanh chóng phát hiện và loại bỏ các tiến trình, file thực thi đã thực hiện hành vi độc hại, gây ra sự cố trên máy tính Windows. Đồng thời, giúp việc xử lý sự cố ATTT một cách nhanh chóng và chính xác, giảm thiểu gián đoạn các hệ thống phục vụ sản xuất điều hành của đơn vị.
Batch File hay Batch Script
Đây là một loại tập tin kịch bản trên hệ điều hành Windows. Gọi là kịch bản vì nó sẽ bao gồm một loạt các lệnh Command Line (CMD), được thực thi theo trình tự để thực hiện các công việc nhất định. Sử dụng Batch Script để thực hiện rà soát hệ điều hành Windows là một phương pháp hiệu quả để tự động hóa quá trình thu thập log, chạy các công cụ rà soát, kiểm tra các lỗ hổng bảo mật và kiểm tra các dấu hiệu tấn công trên Windows, giúp tiết kiệm thời gian và tăng hiệu suất trong việc điều tra, loại bỏ sự cố. Để thực hiện được công việc trên chúng ta cần triển khai nghiên cứu các công cụ phục vụ việc xây dựng: Tìm hiểu về Batch Script: cú pháp (syntax), câu lệnh (command), biến số (variables), toán tử (operator),…Tìm hiểu các phần mềm được sử dụng để hỗ trợ rà soát mã độc Windows.
Giao diện của phần mềm Process Explorer xem thông tin chi tiết về các tiến trình đang chạy trên hệ thống.
Batch Script là một tập tin kịch bản có khả năng tự động hóa quá trình rà soát hệ điều hành Windows. Trước khi triển khai, tập tin Batch Script cần được cấu hình đúng cách với các công cụ hỗ trợ rà soát mã độc như Process Explorer, Autoruns, TCPView, và các công cụ khác.
Việc triển khai Gồm các bước Batch Script sẽ gồm các bước sau:
(i) Triển khai Batch Script: Batch Script được triển khai trên các máy trạm/máy chủ Windows có dấu hiệu bất thường hoặc nằm trong danh sách cần rà soát định kỳ. Chuyên viên an toàn thông tin (ATTT) sẽ sao chép tập tin Batch Script vào hệ thống mục tiêu, đồng thời đảm bảo các công cụ hỗ trợ rà soát cũng được chuẩn bị đầy đủ.
(ii) Thực hiện rà soát;
(iii) Chạy Batch Script
(iv) Thu thập và phân tích dữ liệu
(v) Rà soát chuyên sâu
(vi) Kiểm tra kết nối mạng
(vii) Phân tích lỗ hổng bảo mật
(viii) Kiểm tra dấu hiệu tấn công và cuối cùng là bước Báo cáo và xử lý sự cố.
Batch Script - mã thực hiện thu thập các thông tin máy tính người dùng phục vụ cho việc rà soát mã độc hỗ trợ xử lý sự cố ATTT một cách nhanh chóng và chính xác
Batch Script sẽ hỗ trợ cho người làm về ATTT không có chuyên môn cao cũng thực hiện được việc thu thập thông tin phục vụ điều tra. Thời gian trung bình Batch Script thực hiện thu thập log, rà soát khoảng 05 phút, trong khi đó thời gian thực hiện thủ công với khối lượng công việc tương đương sẽ là từ 25-30 phút cho mỗi máy tính cần thực hiện thu thập log, chạy công cụ, rà soát các dấu hiệu tấn công. Trong trường hợp số lượng máy tính cần rà soát lớn (vài chục đến vài trăm máy) thì thời gian và công sức của Điều tra viên tiết kiệm được sẽ rất nhiều. Bên cạnh đó, công cụ này còn hỗ trợ được người làm ATTT điều tra linh hoạt tùy chỉnh và mở rộng các công cụ rà soát theo nhu cầu cụ thể. Người làm ATTT có thể tích hợp các công cụ bên ngoài, sử dụng lệnh và kỹ thuật khác nhau để đáp ứng các yêu cầu đa dạng trong việc phân tích hệ điều hành. Việc tự động hóa giúp loại bỏ sai sót do con người, tăng hiệu suất và đảm bảo tính nhất quán trong quá trình rà soát.
Việc nghiên cứu xây dựng công cụ hỗ trợ rà soát mã độc trên hệ điều hành Windows. Công cụ này sẽ hỗ trợ tự động thu thập thông tin, chỉ ra các điểm nghi ngờ, giúp Điều tra viên/Cán bộ ATTT nhanh chóng phát hiện và loại bỏ các tiến trình, file thực thi đã thực hiện hành vi độc hại, gây ra sự cố trên máy tính Windows. Đồng thời, giúp việc xử lý sự cố ATTT một cách nhanh chóng và chính xác, giảm thiểu gián đoạn các hệ thống phục vụ sản xuất điều hành của đơn vị. Quan trọng nhất là nâng cao nghiệp vụ, nâng cao khả năng “thực chiến” của Cán bộ làm công tác ATTT tại CPMB phù hợp với yêu cầu ngày càng cao của EVNNPT trong tình hình mới.
Lê Đức Quỳnh Nam
25/11/2024