Hà Tĩnh tham gia diễn tập An toàn thông tin mạng 2018

Chủ nhật - 13/05/2018 18:14
Chiều ngày 09/5/2018, Sở Thông tin và Truyền thông Hà Tĩnh đã tham gia Chương trình diễn tập An toàn thông tin mạng WhiteHat Drill 05 do Cục An toàn thông tin (Bộ Thông tin và Truyền thông) tổ chức.
Các thành viên đội Hà Tĩnh tham gia diễn tập.
Các thành viên đội Hà Tĩnh tham gia diễn tập.

Tại đầu cầu Hà Tĩnh, buổi diễn tập gồm các thành viên đội Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh (Trung tâm Công nghệ thông tin và Truyền thông) và cán bộ chuyên trách CNTT của Sở Thông tin và Truyền thông.
 

 
Chủ đề diễn tập năm nay: Điều tra xử lý và phòng chống mã độc đào tiền ảo qua lỗ hổng phần mềm.
Thời gian:        o Từ 14h đến 17h ngày 9/5/2018 (Bảng A)
                        o Từ 14h đến 17h ngày 10/5/2018 (Bảng B)
Với kịch bản đưa ra là mô phỏng một cuộc tấn công vào máy chủ của đơn vị. Kẻ xấu đã khai thác một lỗ hổng trên hệ thống để cài mã độc đào tiền ảo trái phép lên server của đơn vị. Mã độc đào tiền ảo này chiếm dụng tài nguyên, ảnh hưởng tới dịch vụ đang chạy trên máy chủ. Các đội tham gia đóng vai trò là đội ứng cứu sự cố khẩn cấp. Các đội sẽ nhận được thông tin từ hệ thống cảnh báo an ninh về việc website truy cập không ổn định và cần tiến hành các bước xử lý để đánh giá tình hình, khắc phục sự cố một cách nhanh nhất, đưa dịch vụ trở lại hoạt động bình thường tránh ảnh hưởng đến người dùng, đồng thời đưa ra các biện pháp phòng chống trong tương lai.
Đội Sở Thông tin và Truyền thông Hà Tĩnh thuộc bảng A. Bảng A gồm có 75 đội tham gia, bảng B gồm có 51 đội tham gia. Các đội được cập tài khoản hệ thống để nhận các yêu cầu của BTC và phản hồi qua kênh này; tài khoản đăng nhập Server do BTC cung cấp để khai thác trực tiếp.

 
Sau hơn 3 giờ diễn tập, đội Hà Tĩnh đã xuất sắc hoàn thành cả 5 phase do Ban Tổ chức đưa ra, đạt điểm tối đa và xếp ở vị trí số 8/75 đội tham gia.
Bảng A ngày 09/05/2018 đã ghi nhận  22 trên tổng số 75 đội hoàn thành toàn bộ các phase diễn tập.
 
 
Trong ngày 10/5/2018, tại bảng B cũng đã ghi nhận 6/51 đơn vị hoàn thành tất cả các Phase do ban tổ chức đưa ra.
 
Sau đây, là chi tiết kịch bản bảng A gồm 5 phase:
Pha 1: Tiếp cận hiện trường, khắc phục tạm thời: 20’
Là thành viên của đội ứng cứu, từ thông tin nhận được qua hệ thống cảnh báo an ninh về việc website truy cập không ổn định, đội ứng cứu cần phải rà soát tình trạng của hệ thống để có nhận định ban đầu về sự cố an toàn thông tin, đồng thời đưa ra phương án xử lý tạm thời tránh ảnh hưởng đến các khách hàng đang sử dụng dịch vụ.
Yêu cầu:
- Rà soát  sơ bộ khi truy cập website của đơn vị, ghi nhận lại thời gian tải trang, và nhận định về thời gian tải này so với thông thường (nhanh/ chậm…)?
- Chỉ ra các thông tin tài nguyên của server (Ram, CPU) bị quá tải…?
- Đưa ra hướng xử lý tạm thời
Pha 2: Điều tra sơ bộ, phân tích và xử lý các thành phần độc hại: 40’
Sau khi đã đánh giá được sơ bộ về sự cố và triển khai các phương án tạm thời, đội ứng cứu đã tiến hành cô lập máy chủ để tránh lây lan sang các hệ thống khác bằng firewall. Tiếp theo, đội ứng cứu cần tiến hành điều tra, phân tích và xử lý các thành phần độc hại.
Yêu cầu:
- Liệt kê các tiến trình nghi ngờ gây server bị quá tải?
- Kiểm tra tiến trình nghi ngờ gây server bị quá tải do user nào tạo ra?
- Tên các file lạ mà hacker đã tải lên server?
- Xác định tên file tự động chạy mà hacker đã thiết lập với phần mềm crontab?
- Xác định khoảng thời gian sau bao lâu mã độc chạy lại một lần?
- Tiến trình gây server quá tải được tạo ra từ file tự động chạy mà hacker đã thiết lập với phần mềm crontab, hãy chỉ ra dòng lệnh đó?
- Đưa ra dòng lệnh xoá cấu hình khởi động mã độc trong phần mềm crontab để không cho mã độc tự chạy lại?
Pha 3: Xác định và vá lỗ hổng: 30’
Sau khi đã cô lập và xử lý thành công mã độc trên server; đội ứng cứu cần xác định chính xác lỗ hổng bị khai thác đồng thời vá lỗ hổng này để tránh bị tấn công trở lại.
Yêu cầu:
- Chỉ ra phần mềm có lỗ hổng mà hacker đã sử dụng để khai thác?
-  Đưa ra phương án vá các lỗ hổng trên?
- Chỉ ra tên lỗ hổng mà hacker đã sử dụng để tấn công và xóa các tài khoản admin mà hacker đã tạo ra?
Pha 4: Điều tra nguồn tấn công: 30’
Trong bất kỳ một cuộc tấn công nào, việc đội ứng cứu có thể tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc để từ đó có thể kết hợp với các cơ quan chuyên môn tìm ra nguồn gốc kẻ tấn công là rất quan trọng. 
Đồng thời, đội ứng cứu cần liên hệ với các đơn vị hoạt động trong cùng lĩnh vực để cảnh báo kịp thời đến đơn vị bạn.
Yêu cầu:
- Dựa vào thông tin từ file tự động chạy, đội ứng cứu hãy chỉ ra đầy đủ thông tin của cuộc tấn công: IP Server điều khiển, địa chỉ tải mã độc?
- Từ các hành vi của mã độc, chỉ ra mục đích của mã độc xâm nhập vào hệ thống?
- Liệt kê tên các cơ quan chức năng để liên hệ phối hợp hỗ trợ khi gặp sự cố? 
- Liệt kê tên các đơn vị hoạt động trong cùng lĩnh vực để kịp thời cảnh báo?
Tại Phase 4, đội Hà Tĩnh đã vươn lên vị trí thứ nhất.

Pha 5: Tổng hợp báo cáo: 30’
Đội ứng cứu hãy viết báo cáo kỹ thuật để gửi lãnh đạo về quá trình lây nhiêm của mã độc, cơ chế hoạt động và các biện pháp để tránh bị tấn công trở lại (báo cáo càng chi tiết càng được đánh giá cao)

Nguồn tin: Nguyễn Thanh Lâm:

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Thống kê
  • Đang truy cập4
  • Hôm nay488
  • Tháng hiện tại23,851
  • Tổng lượt truy cập2,434,557
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây