Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
PHÂN	TÍCH	MỘT	SỐ	CUỘC	TẤN	CÔNG	APT	
ĐIỂN	HÌNH	NHẮM	VÀO	VIỆT	NAM	
2017-2018
2	years	ago	!
• 0-day	malware
• Infected	2	years	
before	the	attack
Air	Case	study
4
From	VNA	to	Unknown	attacks
Chúng	ta	đã	sẵn	sàng	?
Ví dụ điển hình của tấn công APT
• 0-day	malware
• Lỗ hổng mới nhất của trình duyệt/OS
• Nhắm đến 1...
Skilled	firefighter	can	not	save	a	late	fire
Phân tích 1	số cuộc tấn công APT	tại Việt Nam	2017	- 2018
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X1
• Mục tiêu:	Doanh nghiệp
• Nạn nhân:	C	level
Dump
launchpad
C&C	#2
Drop	new	malware
Call	home
MacOS spyware	case	study
syslogd
Macro
C&C	#1
Send	basic	info
Commands
sy...
APT	#X2
• Mục tiêu:	Khối chính phủ
• Nạn nhân:	Chuyên viên
• Kim	Jong	Un	làm	Bắc	Kinh	«	mất	ăn,	mất	ngủ	».doc
• KS_ATTT_2017.doc
• nhatdoinhatlo(TOAN	VAN).doc
• Kế	hoạch	kiểm	tra	kh...
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X3
• Mục tiêu:	Cơ quan báo chí
• Nạn nhân:	Tổng biên tập
Rootkit	Case	study
ARP	Poisoning
Protected	by	a	Rootkit
Rootkit	Case	study
WinmonFS.sys
??C:Windowswindefender.exe
??C:Windowsrss
Winmon.sys Process	ID
Ẩn tiến trình
WinmonProces...
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X4
• Mục tiêu:	Ngân hàng
• Nạn nhân:	Lãnh đạo
38.xxx8yyyyy6/nme.gif
03/27 @ 14:16
89.xxx.yyy.164/sock.gif
03/27 @ 14:17
dd1b397e.exe
Microsoft svchost.exe
Chức	năng	giá...
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X5
• Mục tiêu:	Ngân hàng
• Nạn nhân:	C	level
SettingContent-ms Exploitation
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X6
• Mục tiêu:	Ngân hàng
• Nạn nhân:	Manager
File-less	malware	case	study
File-less	malware	case	study
APT	#X7
• Mục tiêu:	Ngân hàng
• Nạn nhân:	Manager
BITS	Case	study
Background	Intelligent	Transfer	Service
BITS	Case	study
Background	Intelligent	Transfer	Service
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X8
• Mục tiêu:	Ngân hàng – Tài chính
• Nạn nhân:	C	level
Bank	APT	1
Bank	APT	1
LAZARUS MALWARE - BEA Systems
Bank	APT	2
Recon
Weaponization
Delivery
Exploitation
Installation
Command	&	
Control
Action	on	Object
Cyber	Kill	Chain
APT	#X9
• Mục tiêu:	Gov
• Nạn nhân:	Trưởng Ban
1. Phát động (email)
2.	Tự động phát tán
qua	lỗ hổng MS17-010
2.	Tự động phát tán qua	
lỗ hổng MS17-010
2.	Tự động phát tá...
Nâng cao năng lực chống tấn công APT
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
FW
AV
Endpoint
Internet
Mức độ 1:	Ad	Hoc
Gartner
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
Mức độ 2:	Basic
FW
AV
Endpoint
Internet
Secure	Gateway:
Email	&	Web	...
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
Mức độ 3:	Managed
FW
AV
Endpoint
Internet
Secure	Gateway:
Email	&	We...
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
Mức độ 4:	Controlled
FW
Endpoint
Internet
Secure	Gateway:
Email	&	We...
Các mức độ của Hệ thống Phòng,	chống phần mềm độc hại
Mức độ 5:	Avoiding
FW
Endpoint
Internet
Secure	Gateway:
Email	&	Web	...
Giải pháp CyRadar trong cuộc chiến Phòng,	chống phần mềm độc hại
Internet	
Shield
Advanced	
Threat	
Detection
Web
Email
DN...
Thank	you	for	your	attention!
More	questions	about	CyRadar?
Email:	contact@cyradar.com
Web:	www.cyradar.com
Mobile:	0904	9...
Prochain SlideShare
Chargement dans…5
×
Prochain SlideShare
What to Upload to SlideShare
Suivant
Télécharger pour lire hors ligne et voir en mode plein écran

Partager

PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018

Télécharger pour lire hors ligne

Nguyen Minh Duc

  • Soyez le premier à aimer ceci

PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018

  1. 1. PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
  2. 2. 2 years ago !
  3. 3. • 0-day malware • Infected 2 years before the attack Air Case study
  4. 4. 4 From VNA to Unknown attacks
  5. 5. Chúng ta đã sẵn sàng ? Ví dụ điển hình của tấn công APT • 0-day malware • Lỗ hổng mới nhất của trình duyệt/OS • Nhắm đến 1 vài cá nhân trong hệ thống • Núp sau những IP hoặc tên miền chính thống • Kẻ tấn công giỏi hơn chúng ta nhiều lần Làm thế nào để phát hiện được sớm ?
  6. 6. Skilled firefighter can not save a late fire
  7. 7. Phân tích 1 số cuộc tấn công APT tại Việt Nam 2017 - 2018
  8. 8. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  9. 9. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  10. 10. APT #X1 • Mục tiêu: Doanh nghiệp • Nạn nhân: C level
  11. 11. Dump launchpad C&C #2 Drop new malware Call home MacOS spyware case study syslogd Macro C&C #1 Send basic info Commands sysaudiod
  12. 12. APT #X2 • Mục tiêu: Khối chính phủ • Nạn nhân: Chuyên viên
  13. 13. • Kim Jong Un làm Bắc Kinh « mất ăn, mất ngủ ».doc • KS_ATTT_2017.doc • nhatdoinhatlo(TOAN VAN).doc • Kế hoạch kiểm tra khảo sát Quyết định 221 - BBT.doc • XÂY DỰNG PHONG CÁCH NGƯỜI CÔNG AN NHÂN DÂN.doc • Biểu mẫu kiểm tra, giám sát- năm 2017(sử dụng tại các chi bộ).doc • Tài Liệu Phòng Chống DBHB.doc • đảm bảo an toàn APEC 2017.doc • De tai cuong quoc bien TQ.doc Recon: Target to Gov
  14. 14. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  15. 15. APT #X3 • Mục tiêu: Cơ quan báo chí • Nạn nhân: Tổng biên tập
  16. 16. Rootkit Case study ARP Poisoning Protected by a Rootkit
  17. 17. Rootkit Case study WinmonFS.sys ??C:Windowswindefender.exe ??C:Windowsrss Winmon.sys Process ID Ẩn tiến trình WinmonProcessMonitor.sys kavpers40eng.exe mcagent.exe nav.exe AvastSvc.exe ............ Kill các AV và nhiều tool
  18. 18. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  19. 19. APT #X4 • Mục tiêu: Ngân hàng • Nạn nhân: Lãnh đạo
  20. 20. 38.xxx8yyyyy6/nme.gif 03/27 @ 14:16 89.xxx.yyy.164/sock.gif 03/27 @ 14:17 dd1b397e.exe Microsoft svchost.exe Chức năng gián điệp 29/61 AV 0/61 AV (Thay đổi hàng giờ) Break Sandbox Break Secure Gateway Break Anti-virus Break Firewall
  21. 21. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  22. 22. APT #X5 • Mục tiêu: Ngân hàng • Nạn nhân: C level
  23. 23. SettingContent-ms Exploitation
  24. 24. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  25. 25. APT #X6 • Mục tiêu: Ngân hàng • Nạn nhân: Manager
  26. 26. File-less malware case study
  27. 27. File-less malware case study
  28. 28. APT #X7 • Mục tiêu: Ngân hàng • Nạn nhân: Manager
  29. 29. BITS Case study Background Intelligent Transfer Service
  30. 30. BITS Case study Background Intelligent Transfer Service
  31. 31. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  32. 32. APT #X8 • Mục tiêu: Ngân hàng – Tài chính • Nạn nhân: C level
  33. 33. Bank APT 1
  34. 34. Bank APT 1 LAZARUS MALWARE - BEA Systems
  35. 35. Bank APT 2
  36. 36. Recon Weaponization Delivery Exploitation Installation Command & Control Action on Object Cyber Kill Chain
  37. 37. APT #X9 • Mục tiêu: Gov • Nạn nhân: Trưởng Ban
  38. 38. 1. Phát động (email) 2. Tự động phát tán qua lỗ hổng MS17-010 2. Tự động phát tán qua lỗ hổng MS17-010 2. Tự động phát tán qua lỗ hổng MS17-010 2. Tự động phát tán qua lỗ hổng MS17-010 2. Tự động phát tán qua lỗ hổng MS17-010
  39. 39. Nâng cao năng lực chống tấn công APT
  40. 40. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại
  41. 41. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại FW AV Endpoint Internet Mức độ 1: Ad Hoc Gartner
  42. 42. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại Mức độ 2: Basic FW AV Endpoint Internet Secure Gateway: Email & Web & DNS Gartner
  43. 43. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại Mức độ 3: Managed FW AV Endpoint Internet Secure Gateway: Email & Web & DNS Sandbox EPP Gartner
  44. 44. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại Mức độ 4: Controlled FW Endpoint Internet Secure Gateway: Email & Web & DNS Sandbox EPP EDR Traffic Analysis Gartner
  45. 45. Các mức độ của Hệ thống Phòng, chống phần mềm độc hại Mức độ 5: Avoiding FW Endpoint Internet Secure Gateway: Email & Web & DNS Sandbox EPP EDR Traffic Analysis App Control Gartner
  46. 46. Giải pháp CyRadar trong cuộc chiến Phòng, chống phần mềm độc hại Internet Shield Advanced Threat Detection Web Email DNS Threat Intelligence Platform EDR SOC Security Operation Center Data Center CyWAF Malware Hunting Malware Analysis Vulnerability Assessment Penetration Testing Incident Response Training – Drill Integrated to EDR Sandbox
  47. 47. Thank you for your attention! More questions about CyRadar? Email: contact@cyradar.com Web: www.cyradar.com Mobile: 0904 927 968

Nguyen Minh Duc

Vues

Nombre de vues

1 234

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

751

Actions

Téléchargements

36

Partages

0

Commentaires

0

Mentions J'aime

0

×