Đội Ứng cứu sự cố BHXH Việt Nam tham gia Diễn tập ACID 2022 với chủ đề “Ứng phó tấn công gián đoạn mạng từ khai thác lỗ hổng bảo mật”
09/11/2022 04:41 PM
Hiện tại bài viết chưa được cập nhật nội dung Âm thanh. Xin cảm ơn.
Chương trình diễn tập quốc tế ACID 2022 chủ đề “Dealing with Disruptive Cyber-Attacks Arising from Exploitation of Vulnerabilities - Ứng phó tấn công gián đoạn mạng từ việc khai thác lỗ hổng bảo mật”. Diễn tập ACID 2022 tiếp tục sử dụng các xu hướng an toàn thông tin mạng mới nhất làm tình huống diễn tập nhằm tăng cường sự chuẩn bị sẵn sàng và xử lý các sự cố đang xảy ra tại các quốc gia ASEAN. Nhận được Công văn mời tham gia diễn tập và nhận thấy chủ đề có nội dung thiết thực, có thể nâng cao trình độ và khả năng phản ứng của Đội, Đội Ứng cứu sự cố Ngành Bảo hiểm xã hội Việt Nam đã tập hợp các thành viên đăng ký tham gia.
I. Tóm tắt chung
Chương trình diễn tập quốc tế ACID 2022 chủ đề “Dealing with Disruptive Cyber-Attacks Arising from Exploitation of Vulnerabilities - Ứng phó tấn công gián đoạn mạng từ việc khai thác lỗ hổng bảo mật”. Diễn tập ACID 2022 tiếp tục sử dụng các xu hướng an toàn thông tin mạng mới nhất làm tình huống diễn tập nhằm tăng cường sự chuẩn bị sẵn sàng và xử lý các sự cố đang xảy ra tại các quốc gia ASEAN.
Nhận được Công văn mời tham gia diễn tập và nhận thấy chủ đề có nội dung thiết thực, có thể nâng cao trình độ và khả năng phản ứng của Đội, Đội Ứng cứu sự cố Ngành Bảo hiểm xã hội Việt Nam đã tập hợp các thành viên đăng ký tham gia.
Chương trình diễn tập lấy một tình huống xảy ra khi nhận được một cảnh báo từ SingCERT (Đội ứng cứu sự cố của Singapore) về một nguy cơ tấn công mã hóa dữ liệu để đòi tiền chuộc, nếu nạn nhân không đồng ý trả tiền thì kẻ tấn công sẽ tiếp tục tấn công vào các hệ thống khác của nạn nhân.
Nội dung chương trình diễn tập bao gồm 6 phase với mỗi phase sẽ yêu cầu các đội chơi phân tích các thông tin để tìm ra cách thức tấn công, lỗ hổng tồn tại trong hệ thống cũng như khuyến nghị cho tổ chức bị tấn công cách giải quyết, giảm thiểu thiệt hại.
Nhận được thư điện tử từ SingCERT cảnh báo về cuộc tấn công có thể xảy ra do khai thác lỗ hổng để tấn công hệ thống thông tin của tổ chức.
Inject 01: Cảnh báo từ SingCERT
Đối với Đội Ứng cứu sự cố của BHXH Việt Nam (sau đây gọi tắt là Đội), khi nhận được cảnh báo như vậy, Đội sẽ khuyến nghị CERT các nước tăng cường thu thập thông tin, săn tìm lỗ hổng (Threat Hunting) để nhanh chóng có thể phát hiện được những nguy cơ tiềm tàng. Đồng thời, cần thiết lập các kênh trao đổi để CERT các nước có thể chia sẻ thông tin cần thiết để có thể thực hiện ứng cứu nhanh nhất có thể.
[Tóm tắt nội dung]
Phase 2 bắt đầu với việc nhận được thư từ Hersey Consulting thông báo về việc hệ thống của họ bị tấn công và trang cổng thông tin của họ hiện không thể cung cấp để người dùng truy cập được. Ngoài ra, họ có gửi file log của ứng dụng web, trong đó có chứa các request của những người dùng trong hệ thống
Application logs (Nhật ký của ứng dụng) là các tệp có chứa thông tin về các sự kiện đã xảy ra trong một ứng dụng phần mềm. Những sự kiện này được đăng nhập bởi ứng dụng và được ghi vào tệp. Chúng có thể bao gồm các lỗi và cảnh báo cũng như các sự kiện thông tin.
[Các câu hỏi phase 2]
Các câu hỏi được đưa ra ở phase 2 này là :
[Các bước xử lý của Đội ƯCSC BHXH Việt Nam]
Trong file log, phát hiện nhiều request từ địa chỉ 41.73.98.168 mà webserver trả về với Http status 418, đây là 1 mã lạ trả về lỗi cho người dùng mà không thường một server trả về vì đây là mã được tạo ra từ một trò đùa Cá tháng 4.
Ngoài ra, sau khi tìm các dấu hiệu bất thường trong file log trên, Đội đã tìm ra dòng log có nội dung lạ được mã hóa như sau:
login POST /members/profile/css/login.css HTTP/1.1" 404 28765 "http://herseyconsulting.com/members/login.php/NjMgNjEgNzQgNjMgNjggMjAgNmQgNjUgMjAgNjkgNjYgMjAgNzkgNmYgNzUgMjAgNjMgNjEgNmU=" "Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0"
Sau khi giải mã thông điệp được mã hóa base64 thu được: “catch me if you can”.
Ngoài ra, địa chỉ 212.162.48.47 của tài khoản elusive938 cũng có thêm 1 request nữa mà khi giải mã ra thông điệp sẽ là “Fernet is good”, từ đây ta có thể đoán được loại mã hóa webserver sử dụng là fernet với key là fxrL4M30gxE_hadUE6tJT7kM1SZTIH0izX8I0JhDWxk=
212.162.48.47 - elusive938 [07/Jul/2022:09:00:55 +0000] "POST /members/profile/css/login.css HTTP/1.1" 404 28765 "http://herseyconsulting.com/members/login.php/secret=NDYgNjUgNzIgNmUgNjUgNzQgMjAgNjkgNzMgMjAgNjcgNmYgNmYgNjQ= "Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0"
212.162.48.47 - elusive938 [07/Jul/2022:09:00:55 +0000] "POST /members/profile/css/login.css HTTP/1.1" 404 28765 "http://herseyconsulting.com/members/login.php/key=fxrL4M30gxE_hadUE6tJT7kM1SZTIH0izX8I0JhDWxk=" "Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0".
Sử dụng loại mã hóa Fernet với key có được, Đội đã tiến hành mã hóa một số lệnh mà kẻ tấn công sử dụng:
login/?id=%'+or+'0'='0
?id=%'+or+0=0+union+select+null,+version()+#
?id=%'+or+0=0+union+select+null,+user()+#
?id=%'+and+1=0+union+select+null,+table_name+from+information_schema.tables+#
?id=%'+and+1=0+union+select+null,+table_name+from+information_schema.tables+where+table_name+like+'user%'#&Submit=Submit
?id=DROP+DATABASE+root@localhost;&Submit=Submit
Trong đó lệnh mà kẻ tấn công đã dùng để làm hệ thống của đơn vị không thể hoạt động được đó là DROP DATABASE root@localhost;
Câu lệnh này được sử dụng với mục đích xóa database của hệ thống.
Dựa vào những phân tích trên chúng tôi nghi ngờ hệ thống của đơn vị đã bị xâm nhập và chiếm đoạt thông tin. Đề nghị cung cấp thêm các thông tin trên các máy chủ của hệ thống cổng thông tin của đơn vị để có thể đưa ra những hành động cụ thể hơn. Đồng thời Đội đề nghị Hersey Consulting triệu tập đội ứng cứu, sự trợ giúp từ những đội ứng cứu các nước để thực hiện rà soát hệ thống, thu hồi tài khoản đã bị chiếm đoạt đồng thời hardening (tăng cường tính chặt chẽ) các chính sách truy cập đến các hệ thống từ người quản trị để tránh kẻ tấn công leo thang đặc quyền sang các hệ thống khác.
Sau khi thu thập được các thông tin qua nhật ký ứng dụng về cuộc tấn công vào cơ sở dữ liệu của Hersey Consulting, đơn vị đã gửi thêm nhật ký của tường lửa để có thể tìm ra được kẻ tấn công.
[Các câu hỏi phase 3]
Sau khi xem xét file log trên thiết bị tường lửa nhận được từ Hersey Consulting, Đội tiến hành lọc các traffic với application là “ftp” để tìm ra địa chỉ đã thực hiện đẩy dữ liệu từ máy chủ nạn nhân ra bên ngoài.
Sau khi lọc các traffic, nhận thấy rằng địa chỉ thực hiện gửi dữ liệu ra ngoài là 159.63.53.251 (web server) và địa chỉ nhận là 91.209.238.58 (kẻ tấn công).
Sau khi xác định được rằng dữ liệu của đơn vị đã bị gửi ra bên ngoài đồng thời bị xóa trên hệ thống cổng thông tin, những kẻ tấn công đã gửi thư tống tiền đến nạn nhân đồng thời thay đổi giao diện của trang cổng thông tin.
Đính kèm với thư điện tử là hình ảnh mà nhóm tấn công đăng tải lên trang cổng thông tin của đơn vị:
[Các câu hỏi phase 4]
Dựa vào thông tin của ví điện tử để lại trên hình ảnh mà nhóm tấn công đã để lại trên cổng thông tin của đơn vị, Đội đã tìm ra được tổ chức nắm giữ tài khoản ví này là của nhóm hacker STARDUST CHOLLIMA.
Đồng thời, Đội cũng khuyến nghị Hersey Consulting thực hiện các hành động sau để giảm thiểu thiệt hại từ cuộc tấn công cũng như nhanh chóng xử lý sự cố:
Sau khi không nhận được tiền chuộc từ nạn nhân, có khả năng kẻ tấn công đã lợi dụng lỗ hổng trong hệ thống thông tin để thực hiện tấn công DDoS để làm tê liệt khả năng đáp ứng của máy chủ. Hersey Consulting gửi kèm file pcap (file nhật ký lưu lượng mạng) để giúp tìm ra cách tấn công, các địa chỉ thực hiện tấn công.
[Các câu hỏi phase 5+6]
Cổng thông tin điện tử BHXH Việt Nam
Tham gia BHXH để tuổi già anh nhàn
TỌA ĐÀM VỀ CHÍNH SÁCH HỖ TRỢ CỦA TỈNH BÌNH ĐỊNH ...
Phóng sự “Hối hận khi rút BHXH một lần, tuổi già ...
Hướng dẫn đăng nhập VssID bằng tài khoản định ...
Hình ảnh hoạt động