Hệ thống website của các tổ chức Việt Nam ngày càng bị tấn công nhiều hơn, lý do các tổ chức chưa thật sự chú trọng về bảo mật cho hệ thống của mình. Theo thống kê, trong một ngày bình quân có hàng trăm website VN bị tấn công và có hàng ngàn website khác có thể bị tấn công bất kỳ lúc nào, đặc biệt các site của chính phủ.
http://dps.com.vn/Chi-tiet-tin-tuc/717/viet-nam-78-website-chinh-phu-co-the-bi-tan-cong-toan-dien.aspx
Và cũng theo thống kê các lỗ hổng, nguy cơ thường bị lợi dụng tấn công chiếm tỷ lệ:
Để tấn công một hệ thống thông thường tấn công hệ thống thường hacker phải qua các bước sau:
- Thu thập thông tin
- Dò tìm lỗ hổng và các điểm yếu liên quan
- Tấn công
- Đặt cửa hậu (shell code)
- Xóa dấu vết (xóa log...)
Như vậy chúng ta hoàn toàn có thể phát hiện sớm được cuộc tấn công từ bước đầu như "thu thập thông tin"và "dò tìm lỗ hổng" bằng hệ thống IDS, IPS, hoặc hoàn toàn phát hiện ở bước "tấn công" hacker qua hệ thống phân tích sự kiện an ninh SIEM. Tuy nhiên khi một cuộc tấn công xong rồi, làm sao chúng ta biết có của hậu hacker đã để lại ở đâu trong hệ thống của chúng ta. Theo thống kê thì 98% các cuộc tấn công vào hệ thống thành công haker đều đặt lại của hậu, mục đích :
- Lắng nghe tất cả thay đổi hệ thống
- Vượt quyền kiểm soát , tăng quyền.
- Tấn công hệ thống khác (local attack)
.....
Vậy làm sao để phát hiện được những cửa hậu đấy?. Hiện nay các shellcode thường sử dụng phổ biến c99, r75.... Mục đích của tất cả shelcode đều có đặc điểm chung đó là gọi đến các hàm hệ thống nhằm mục đích, thực hiện chạy câu lệnh hệ thống (OS) hoặc tiến trình quản lý file của hệ thống. Dựa đặc điểm chung này mà chúng ta có thể viết tool để detect shell code trên hệ thống của mình.
Tham khảo:
http://securityxploded.com/shell-detect.php
http://www.slideshare.net/null0x00/web-backdoors-attacks-evasion-detection
http://dps.com.vn/Chi-tiet-tin-tuc/717/viet-nam-78-website-chinh-phu-co-the-bi-tan-cong-toan-dien.aspx
Và cũng theo thống kê các lỗ hổng, nguy cơ thường bị lợi dụng tấn công chiếm tỷ lệ:
Để tấn công một hệ thống thông thường tấn công hệ thống thường hacker phải qua các bước sau:
- Thu thập thông tin
- Dò tìm lỗ hổng và các điểm yếu liên quan
- Tấn công
- Đặt cửa hậu (shell code)
- Xóa dấu vết (xóa log...)
Như vậy chúng ta hoàn toàn có thể phát hiện sớm được cuộc tấn công từ bước đầu như "thu thập thông tin"và "dò tìm lỗ hổng" bằng hệ thống IDS, IPS, hoặc hoàn toàn phát hiện ở bước "tấn công" hacker qua hệ thống phân tích sự kiện an ninh SIEM. Tuy nhiên khi một cuộc tấn công xong rồi, làm sao chúng ta biết có của hậu hacker đã để lại ở đâu trong hệ thống của chúng ta. Theo thống kê thì 98% các cuộc tấn công vào hệ thống thành công haker đều đặt lại của hậu, mục đích :
- Lắng nghe tất cả thay đổi hệ thống
- Vượt quyền kiểm soát , tăng quyền.
- Tấn công hệ thống khác (local attack)
.....
Vậy làm sao để phát hiện được những cửa hậu đấy?. Hiện nay các shellcode thường sử dụng phổ biến c99, r75.... Mục đích của tất cả shelcode đều có đặc điểm chung đó là gọi đến các hàm hệ thống nhằm mục đích, thực hiện chạy câu lệnh hệ thống (OS) hoặc tiến trình quản lý file của hệ thống. Dựa đặc điểm chung này mà chúng ta có thể viết tool để detect shell code trên hệ thống của mình.
Tham khảo:
http://securityxploded.com/shell-detect.php
http://www.slideshare.net/null0x00/web-backdoors-attacks-evasion-detection