Tản mạn linh tinh về một số sản phẩm ATTT

Tóm tắt:

Một video mô tả việc sử dụng lỗ hổng thực thi mã từ xa (RCE)ở Kernel mode (eternalblue-MS17–010) để vô hiệu hóa từ xa các công cụ giám sát (cụ thể là sysmon với cấu hình chức năng thu thập hành vi cho siem) mà không gây nên hay để lại bất kỳ một tín hiệu nào. Ngoài ra còn có một đoạn dài chém gió của một vài người không còn làm trong ngành ATTT nữa (vậy mọi thông tin nêu ra chỉ mang tính chất tham khảo, đọc cho vui và làm cũng cho vui giết thời gian).

— — — — — — — — — — — -

Mở đầu câu chuyện:

Một vài năm gần đây thường nghe với những khái niệm như xây dựng hệ thống vận hành giám sát an toàn thông tin, trung tâm vận hành an toàn thông tin với những lời quảng cáo về khả năng giám sát, ngăn chặn các cuộc tấn công, APT, tấn công có chủ đích (Targeted Attack). Mặc dù chưa bao giờ thực sự nghiên cứu sâu về sơ đồ hệ thống, tài liệu vận hành của một hệ thống hay trung tâm như vậy, nhưng tôi vẫn tưởng tượng tổng quát đó là hệ thống gồm có các giải pháp, thu thập các thống tin dữ liệu về các sự kiện, hành vi theo thời gian thực từ: các thiết bị mạng (tưởng lửa, bộ định tuyến (router,switch), các thiết bị cân bằng tải lb, hệ thống phát hiện xâm nhập (IDS,IPS) … ), các máy chủ vận hành hệ thống (tường lửa web (waf), máy chủ AD (domain), cơ sở dữ liệu… ), các phần mềm bảo vệ, giám sát mọi máy tính trong hệ thống (phần mềm chống mã độc (antimalware), phần mềm giám sát (EDR,EDA……..)). Các thông tin này được hệ thống thu thập, xử lý và phân tích, từ đó đưa ra các vấn đề nghi vấn, cảnh báo tới đội ngũ nhân sự trực, xử lý liên tục. Các vấn đề này được phát hiện và xử lý theo một bộ quy trình, thiêu chuẩn sau cho triệt để nhất.. Ngoài ra thì còn các đội ngũ kiểm thử, rà soát các vấn đề của hệ thống theo các công nghệ mới nhất.

Sơ lược về ý tưởng:

Thực ra với việc theo dõi các vấn đề hay dữ liệu từ thiết bị mạng, tường lửa, hệ thống phát hiện xâm nhập hay các thông tin trên các hệ thống máy chủ tôi không cảm thấy mới, nó vốn là công việc hàng ngày diễn ra hàng chục năm qua. Cái mới có lẽ là hệ thống các phần mềm thu thập hành vi, giám sát các máy tính trong hệ thống. Phần này sẽ bắt, phát hiện các hành vi, giai đoạn của cuộc tấn công bị bỏ lọt từ các thiết bị khác. Nhưng liệu nó có thực sự hiệu quả trước những cuộc tấn công có chủ đích. Những người có khả năng tạo ra những cuộc tấn công như vậy, trong tưởng tượng của tôi thì kém nhất cũng là những người có khả năng phân tích hệ thống của mục tiêu, chỉnh sửa các lỗ hổng sao cho phù hợp, tấn công một cách bí mật, hiệu quả.

Phân tích, tìm hiểu về các phần mềm này, có thể dễ dàng tìm thấy hay xác định cách nó hoạt động, có rất nhiều cách để vượt qua hoàn toàn hoặc vược qua một phần. Đa số phương pháp, một số opensource bypass sẽ để lại một số tín hiệu nhất định (như có process được tạo, có drivers được load…) nhưng vẫn tồn tại các trường hợp sẽ không để lại dấu vết gì. Ví dụ như: tấn công khai thác trực tiếp một lỗ hổng kernel từ một máy khác, thực hiện vô hiệu hoá các chức năng giám sát hành vi của các công cụ giám sát, tấn công thông qua một lỗ hổng ở phía máy khách như office, pdf, chạy shellcode ở trong tiến trình của phần mềm đó, shellcode tiếp tục trực tiếp khai thác một lỗ hổng cho phép chạy kernel mode shell code để vô hiệu hoá giám sát hoặc shellcode thực hiện leo thang đặc quyền và sử dụng một lỗi không tính là lỗ hổng như lỗi admin to kernel, ngoài ra cũng tồn tại nhiều lỗi ở các ngôn ngữ lập trình web có thể để thực thi shell code…… tất nhiên là các cách này vẫn có thể bị chặn bởi ids, antivrs nhưng nếu những thứ đó vẫn luôn hoạt động tốt, chính xác thì cũng ko cần những thứ còn lại?

Và. Với những việc này hiện tại không cần nhọc đến những nhóm targeted attack, hiển nhiên họ chỉ việc nghiên cứu thêm một chút và bổ xung chức năng vào kernel shellcode trong framework của họ. Thậm chí có lẽ đầu tư nhiều thời gian họ sẽ tìm luôn lỗ hổng trên các sản phẩm giám sát. Bất cứ ai từng học qua chút lập trình windows, hợp ngữ đều có thể dùng một tuần làm việc hay vài ngày cuối tuần rảnh rỗi trong tháng để đọc tài liệu,lên github tìm code, tập biên dịch và thêm vào các poc trên mạng ( các lỗi rce trên kernel xuất hiện hàng năm từ eternalblue, bluekeeper, smbghost……) xây dựng nên một poc như video với khả năng ảnh hưởng từ sản phẩm miễn phí đến thương mại tôi không thử trên tất cả sản phẩm, nhưng đâu đó trên mạng có chuyên gia đã thử và đánh giá trong tất cả sản phẩm anh ấy có thể tìm thấy chỉ có một sản phẩm có khả năng tự bảo vệ, kiểm tra sự toàn vẹn của bản thân nhưng nó thực sự quan trọng đâu, người biết làm việc có thể dễ dàng dịch ngược, viết các đoạn code để thực hiện việc vô hiệu hoá quá trình kiểm tra này như vô hiệu hoá quá trình giám sát! Tiếp theo có lẽ sẽ là một cuộc đua tương tự như cuộc đua cũ giữa antivirus với các mẫu mới (và bên thắng luôn là bên ở phía chủ động) cho đến khi M$ có các biện pháp mới, nhưng windows 10 2012 2016 sẽ còn tồn tại trong hệ thống 10 15 năm nữa.

Tại sao lại dễ dàng vậy? Các chương trình giám sát đơn giản như một cái đồ án tốt nghiệp, phân tích nó dễ hơn cheatgame, nhiều source cheat game có thể sử dụng lại, Các nhà tư bản bán sản phẩm attt vốn không quan tâm nhiều đến mọi thứ có thực sự an toàn không, một thị trường mới cần họ đầu tư thời gian, công sức, tiền vào việc quảng cáo, chiếm thị trường hơn là hoàn thiện sản phẩm. Còn các nhà tư bản bán dịch vụ, các chuyên gia họ cũng cần dành nhiều thời gian nghiên cứu những thứ đáng tiền hơn, dễ quảng cáo, dọa nạt hơn….. Và thứ ít đáng quan tâm nhất có lẽ lại là sự an toàn thực thụ, người ta chỉ quan tâm đến số tiền kiếm được, độ nổi tiếng ra sao.

Cuối cùng như đã nói là video nhỏ về hoạt động của của mã tấn công và công cụ giám sát sysmon:

https://www.youtube.com/embed/rrPXGxb1O5c