Sở Thông tin và Truyền thông thông báo các đơn vị về tình hình đảm bảo an toàn thông tin ghi nhận được từ hệ thống của thành phố. Đề nghị các đơn vị triển khai các biện pháp theo hướng dẫn tại Phụ lục đính kèm.

Đầu mối liên hệ của Trung tâm Công nghệ thông tin và Truyền thông thành phố: Ông Phạm Thiên Long, Phòng An ninh mạng, số điện thoại: 0913847324, thư điện tử: [email protected]./.

PHỤ LỤC

TÌNH HÌNH AN TOÀN THÔNG TIN
(Đính kèm Công văn số 1118/STTTT-CNTT ngày 25/8/2016)

I. Các hành vi mất an toàn thông tin được phát hiện

Hệ thống đảm bảo an toàn thông tin của thành phố đã phát hiện được cảnh báo các địa chỉ IP lạ tấn công hệ thống tại các đơn vị, nội dung chi tiết như sau:

- Mức độ ảnh hưởng: Các máy trạm bị nhiễm mã độc trở thành Botnet, trao đổi dữ liệu với bên ngoài.

- Phương thức điều tra: thực hiện rà soát và nhận thấy dấu hiệu, hành vi tấn công từ bên ngoài vào hệ thống tại các đơn vị như sau:

+ Hệ thống đã thu thập được dữ liệu, các hành vi trao đổi của các máy trạm từ mạng trong ra mạng ngoài cụ thể là các địa chỉ IP và Domain như sau:

o 95.213.186.51

o 95.216.192.71

o 163.172.32.234

o 176.9.48.86

o 176.9.174.220

o http://atomictrivia.ru/atomic.php

o http://differentia.ru/diff.php

o http://disorderstatus.ru/order.php

o http://gvaq70s7he.ru

+ Theo ghi nhận các máy trạm khi bị nhiễm mã độc định kỳ nhận các yêu cầu từ các máy chủ C&C và phản hồi lại các yêu cầu từ máy chủ C&C thông qua 4 địa chỉ URL như trên và 4 địa chỉ URL được phân giải đến 5 địa chỉ trên. Trong quá trình truy vết đã phát hiện các máy trạm bị nhiễm mã độc thực hiện trao đổi thông tin qua giao thức http (cổng 80).

+ Loại mã độc các máy trạm bị nhiễm thuộc loại Gamarue. Các hành vi của Gamarue như sau:

o Đánh cắp thông tin nhạy cảm:

 Thông tin hệ điều hành

 Địa chỉ IP cục bộ  

 Số thứ tự của ổ đĩa (volume) gốc.

 Tài khoản đặc quyền, ví dụ như quyền quản trị

o Thông tin bị đánh cắp gửi về cho máy chủ C&C; sau đó đợi các mệnh lệnh tiếp theo. Tùy thuộc vào các câu lệnh nhận được, hacker có thể làm những việc khác nhau để kiểm soát máy tính bị lây nhiễm.

o Thông tin tham khảo chi tiết theo link: http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue#tab=1

+ Trên hệ thống giám sát an toàn thông tin ghi nhận được như sau:

o Máy chủ 163.172.32.234 thực hiện tấn công thông qua giao thức TCP các port thực hiện tấn công: 50099, 50098, 49876, 2157, 80....

o Ứng dụng thực hiện khai thác là tập tin MSIEXEC:

 Msiexec.exe là một tập tin DLL với mô tả Windows installer, kích thước 73216 bytes, vị trí winsxs\x86_microsoft-windows-installer- executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\\, được cập nhật lần cuối vào ngày 7/13/2009 4:31:52 PM, mã lỗi 0x0284 (The specified range could not be found in the range list.), phiên bản 5.0.7600.16385, registry key, và Hassie Slocum nhiễm virus là Backdoor:Win32/Delf.KA

 Virus Backdoor: Win32/Delf.KA và Marian Marquardt thay đổi bốn khóa registry trong máy tính:

 HKEY_CLASSES_ROOT\ShockwaveFlash.ShockwaveFlash.8\CLSID

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_prng

 HKEY_CLASSES_ROOT\Interface\{B90EFAA6-25E4-33D2-ACA3-94BF74DC4AB9}\ProxyStubClsid

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_micr

o Theo đánh giá của Virustotal đã cảnh báo, đây là dạng mã độc mới cho đến thời điểm hiện tại có 6 đơn vị phát hiện và có bản cập nhật.

II. Các biện pháp khắc phục

- Đối với các hệ thống tại Trung tâm dữ liệu thành phố, Trung tâm CNTT-TT phối hợp với QTSC thực hiện chính sách cấm truy cập đến các địa chỉ IP và tên miền chứa mã độc đã nêu trên.

- Đối với hệ thống CNTT tại đơn vị: các đơn vị chủ động triển khai chính sách trên hệ thống tường lửa cấm truy cập các địa chỉ IP và tên miền độc hại đã nêu trên.

- Trung tâm CNTT-TT triển khai chính sách an toàn thông tin từ máy chủ Symantec đến các máy trạm tại đơn vị đã triển khai Symantec (ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305).

- Đối với các đơn vị triển khai phần mềm phòng chống mã độc riêng: đề nghị triển khai chính sách ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305 trên phần mềm phòng chống mã độc của đơn vị.