Phát hiện tấn công website defacement
- 70 trang
- file .pdf
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN
[email protected]
Ngành Công nghệ thông tin
Giảng viên hướng dẫn: TS. VŨ THỊ HƯƠNG GIANG
Viện: Công nghệ thông tin và Truyền thông
HÀ NỘI, 2021
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN
[email protected]
Ngành Công nghệ thông tin
Giảng viên hướng dẫn: TS. Vũ Thị Hương Giang Chữ ký của GVHD
Viện: Công nghệ thông tin và Truyền thông
HÀ NỘI, 2021
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn: NGUYỄN ANH TUẤN.
Đề tài luận văn: Phát hiện tấn công website defacement.
Chuyên ngành: Mạng máy tính và an toàn thông tin.
Mã số SV: CB180204.
Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận
tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 29/04/2021
với các nội dung sau:
1. Đã rà soát lại chính tả, văn phòng trình bày, triển khai đầy đủ ý, không
trình bày dạng ý, gạch đầu dòng.
2. Viết lại phần tóm tắt luận văn
3. Chuyển nội dung các cơ chế phát hiện tấn công bằng biểu thức chính
quy trong mục 2.4. sang phần lý thuyết mục 1.3.1. (trang 13).
4. Sửa lại các biểu đồ và tham chiếu, diễn giải đầy đủ.
- Mô hình giải pháp đề xuất (trang 24).
- Mô hình cơ chế phát hiện thay đổi giao diện (trang 25).
- Mô hình cơ chế xác định và cảnh báo tấn công thay đổi giao diện (trang
27).
- Mô hình triển khai (trang 34).
- Thiết kế chức năng quản trị viên (trang 35).
- Thiết kế chức năng giám sát (trang 36).
- Thiết kế chức năng xác định tấn công thay đổi giao diện (trang 37).
- Hoạt động của công cụ phân tích tập tin nhật ký (trang 38).
5. So sánh với các giải pháp khác (Mục 3.6 – Trang 57).
6. Viết lại phần Kết luận và hướng phát triển (trang 58).
Ngày 10 tháng 05 năm 2021
Giáo viên hướng dẫn Tác giả luận văn
CHỦ TỊCH HỘI ĐỒNG
LỜI CẢM ƠN
Trong quá trình học tập, nghiên cứu và hoàn thiện luận văn, tác giả đã nhận
được sự động viên, khuyến khích và tạo điều kiện giúp đỡ nhiệt tình của các thầy
cô giáo, cơ quan đồng nghiệp và gia đình.
Tác giả bày tỏ lòng biết ơn sâu sắc tới các thầy cô giáo Viện Công nghệ
Thông tin và Truyền thông, Phòng Đào tạo – Bộ phận đào tạo sau đại học, Trường
Đại học Bách Khoa Hà Nội, và đặc biệt là các thầy cô giáo đã trực tiếp giảng dạy
các chuyên đề của toàn khóa học, và đã tạo điều kiện, đóng góp ý kiến cho tác giả
trong suốt quá trình học tập và hoàn thành luận văn thạc sĩ.
Tác giả xin cảm ơn chủ nhiệm đề tài “Nghiên cứu xây dựng hệ thống chuyển
đổi tiếng nói tiếng Việt sang văn bản và công cụ hỗ trợ tốc ký trong xử lý nghiệp
vụ chuyên môn” Mã số: 01C-07/02-2018-3, đã cho phép tham gia và sử dụng
những kết quả của đề tài để làm thực nghiệm trong luận văn này.
Đặc biệt, tác giả xin bày tỏ lòng biết ơn sâu sắc đến TS. Vũ Thị Hương
Giang, người đã trực tiếp hướng dẫn, tận tình chỉ bảo, giúp đỡ tác giả tiến hành
các hoạt động nghiên cứu để hoàn thành luận văn này.
Với thời gian nghiên cứu còn hạn chế, luận văn không tránh khỏi những
thiếu sót, tác giả rất mong nhận được các ý kiến đóng góp chân thành từ các thầy
cô giáo, cơ quan đồng nghiệp và bạn bè.
HỌC VIÊN
NGUYỄN ANH TUẤN
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn thạc sĩ với đề tài: “PHÁT HIỆN TẤN CÔNG
WEBSITE DEFACEMENT” là công trình nghiên cứu của riêng tôi. Các kết quả
nghiên cứu trong luận văn là trung thực và chưa từng được công bố trong bất kỳ
một công trình nào khác. Trong quá trình làm luận văn, tôi có tham khảo các tài
liệu khác nhau và đã ghi rõ nguồn của tài liệu tham khảo.
HỌC VIÊN
NGUYỄN ANH TUẤN
TÓM TẮT LUẬN VĂN THẠC SĨ
Đề tài: Phát hiện tấn công website defacement.
Tác giả luận văn: Nguyễn Anh Tuấn Khóa: 18B
Người hướng dẫn: TS. Vũ Thị Hương Giang
Từ khóa (Keyword): attack detection, defacement, web monitoring, content
modification
Nội dung tóm tắt:
Tấn công thay đổi giao diện (website defacement) là việc sửa đổi trái phép
giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Kẻ tấn công, phá
hoại thay thế các thông tin của website gốc bằng các nội dung khác như các thông
điệp chính trị, bôi nhọ, thêm nội dung nhạy cảm, thay đổi mô tả sản phẩm, v.v. gây
tổn hại nghiêm trọng đến uy tín của doanh nghiệp, làm gián đoạn truy cập website.
Những kẻ tấn công thường xâm nhập các trang web thông qua các lỗ hổng phổ
biến như local file inclusion, SQL injection, hay đoán mật khẩu nhằm chiếm quyền
truy cập, thực thi các mã độc hại. Trong bối cảnh đó, nghiên cứu và thử nghiệm
giải pháp tự động phát hiện tấn công thay đổi giao diện, làm rõ các nội dung đã bị
thay thế là một chủ đề cấp thiết.
Mục đích của đề tài là nghiên cứu các hình thức tấn công, áp dụng các cơ
chế, công cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mô hình và cài đặt
thử nghiệm giải pháp phát hiện tấn công thay đổi giao diện website.
Các đóng góp chính của tác giả bao gồm:
1. Tổng hợp các khái niệm, phương thức tấn công thay đổi giao diện
website.
2. Thiết kế quy trình phát hiện tấn công thay đổi giao diện gồm các bước
chính: thu thập thông tin website, phát hiện thay đổi, phân tích thay đổi, cảnh báo
tấn công.
3. Cài đặt thử nghiệm các module phục vụ giám sát thu thập thông tin
website, phát hiện thay đổi, lưu trữ được hình ảnh, thời gian thay đổi giao diện của
website.
4. Cài đặt thử nghiệm được một số luật phân tích thay đổi, xác định được
một số trường hợp phát hiện tấn công thay đổi giao diện.
5. Thử nghiệm giải pháp để giám sát, phát hiện tấn công trên hai đối tượng:
thứ nhất là website tin tức về môi trường nước của NAWAPI, thứ hai là website
Hệ thống hỗ trợ và quản lý biên bản cuộc họp tại UBND thành phố Hà Nội (đây là
một sản phẩm nghiên cứu của đề tài “Nghiên cứu xây dựng hệ thống chuyển đổi
tiếng nói tiếng Việt sang văn bản và công cụ hỗ trợ tốc ký trong xử lý nghiệp vụ
chuyên môn” Mã số: 01C-07/02-2018-3 do Trung tâm Tin học Công báo Thành
phố Hà Nội chủ trì).
Qua thử nghiệm các kịch bản thay đổi toàn bộ mã nguồn, chèn mã javascript
và thay đổi một phần giao diện, luận văn này đóng góp vào quá trình giám sát các
website nói chung và kiểm thử, đánh giá kết quả nghiên cứu của đề tài 01C-07/02-
2018-3 đã nêu trên.
MỤC LỤC
ĐẶT VẤN ĐỀ ....................................................................................................... 1
CHƯƠNG I. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN ............ 3
1.1. Hiện trạng tấn công thay đồi giao diện hiện nay ...................................... 3
1.1.1. Tấn công thay đổi giao diện là gì? ................................................ 3
1.1.2. Tình hình tấn công thay đổi giao diện hiện nay ............................. 5
1.2. Các hình thức tấn công thay đổi giao diện phổ biến ................................ 9
1.3. Các cơ chế, công cụ phát hiện, cảnh báo tấn công thay đổi giao diện ... 10
1.3.1. Cơ chế phát hiện tấn công thay đổi giao diện từ kiểm tra sự xâm
nhập……. ..................................................................................................... 11
1.3.2. Các cơ chế phát hiện dựa trên thay đổi nội dung, hình ảnh hiển thị
của website ................................................................................................... 18
1.3.3. Một số công cụ giám sát và phát hiện tấn công thay đổi giao
diện……........................................................................................................ 21
1.4. Kết chương ............................................................................................. 22
Chương II. PHÂN TÍCH, THIẾT KẾ MÔ HÌNH GIẢI PHÁP PHÁT HIỆN TẤN
CÔNG THAY ĐỔI GIAO DIỆN ........................................................................ 23
2.1. Mô tả bài toán ......................................................................................... 23
2.2. Mô hình giải pháp đề xuất ...................................................................... 23
2.3. Thiết kế cơ chế phát hiện thay đổi giao diện .......................................... 24
2.4. Thiết kế cơ chế xác định và cảnh báo tấn công thay đổi giao diện. ....... 26
2.5. Phân tích tập luật .................................................................................... 28
2.5.1. Xác định tấn công thay đổi giao diện thủ công............................ 29
2.5.2. Xác định tấn công thay đổi giao diện kết hợp giữa trường hợp
thay đổi và phân tích tập tin nhật ký ............................................................ 29
2.5.3. Tổng hợp tập luật ......................................................................... 31
2.6. Kết chương ............................................................................................. 32
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MÔ HÌNH PHÁT
HIỆN TẤN CÔNG THAY ĐỔI GIAO DIỆN..................................................... 33
3.1. Mô hình triển khai .................................................................................. 33
3.2. Thiết kế chức năng thực hiện các cơ chế trong công cụ giám sát .......... 34
3.2.1. Chức năng quản trị viên ............................................................... 34
3.2.2. Chức năng giám sát ..................................................................... 35
3.2.3. Thiết kế chức năng xác định tấn công thay đổi giao diện............ 36
3.3. Cấu hình, cài đặt môi trường thử nghiệm giám sát thu thập thông tin
website ............................................................................................................. 38
3.4. Thử nghiệm module giám sát thu thập thông tin website NAWAPI ..... 39
3.4.1. Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn ....................... 39
3.4.2. Kịch bản 2: Kịch bản chèn mã javascript .................................... 43
3.4.3. Kịch bản 3: kịch bản thay đổi một phần giao diện ...................... 45
3.5. Thử nghiệm module giám sát thu thập thông tin Hệ thống hỗ trợ và quản
lý biên bản cuộc họp tại UBND thành phố Hà Nội. ........................................ 47
3.5.1. Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn trang đăng
nhập……. ...................................................................................................... 48
3.5.2. Kịch bản 2: Kịch bản chèn mã javascript trang đăng nhập ........ 50
3.5.3. Kịch bản 3: kịch bản thay đổi một phần giao diện trang đăng
nhập……. ...................................................................................................... 52
3.5.4. Kịch bản 4: Kịch bản chèn mã javascript trên trang nội dung sau
đăng nhập. .................................................................................................... 54
3.6. So sánh với các giải pháp khác ............................................................... 56
3.7. Kết chương ............................................................................................. 56
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................... 57
TÀI LIỆU THAM KHẢO .................................................................................... 59
DANH MỤC HÌNH ẢNH
HÌNH 1. WEBSITE CỦA SÂN BAY TÂN SƠN NHẤT BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN ..................... 4
HÌNH 2. WEBSITE VIETNAMAIRLINES BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN ........................................ 4
HÌNH 3. SỐ LƯỢNG KẾT QUẢ BÁO CÁO WEBSITE BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN TRÊN
MIRROR-H ......................................................................................................................................... 6
HÌNH 4. BIỂU ĐỒ THỐNG KÊ TẤN CÔNG MẠNG TÍNH ĐẾN 7/2019 .................................................... 7
HÌNH 5. BIỂU ĐỒ THỐNG KÊ TẤN CÔNG MẠNG 4 THÁNG ĐẦU NĂM 2020 ....................................... 7
HÌNH 6. TOP 10 LỖ HỔNG VÀO ỨNG DỤNG WEB THEO CÔNG BỐ CỦA OWASP NĂM 2013 VÀ
2017 ................................................................................................................................................. 9
HÌNH 7. MÔ HÌNH GIẢI PHÁP ĐỀ XUẤT ............................................................................................... 23
HÌNH 8. MÔ HÌNH CƠ CHẾ PHÁT HIỆN THAY ĐỔI GIAO DIỆN .......................................................... 24
HÌNH 9. MÔ HÌNH CƠ CHẾ XÁC ĐỊNH VÀ CẢNH BÁO TẤN CÔNG THAY ĐỔI GIAO DIỆN ................ 26
HÌNH 10. THỐNG KÊ CÁC TRƯỜNG HỢP BỊ THAY ĐỔI ...................................................................... 29
HÌNH 11. TRƯỚC VÀ SAU THỬ NGHIỆM KỊCH BẢN TẤN CÔNG THAY ĐỔI TOÀN BỘ WEBSITE ...... 29
HÌNH 12. MÔ HÌNH TRIỂN KHAI ........................................................................................................... 33
HÌNH 13. THIẾT KẾ CHỨC NĂNG QUẢN TRỊ VIÊN .............................................................................. 34
HÌNH 14. THIẾT KẾ CHỨC NĂNG GIÁM SÁT ........................................................................................ 35
HÌNH 15. THIẾT KẾ CHỨC NĂNG XÁC ĐỊNH TẤN CÔNG THAY ĐỔI GIAO DIỆN .............................. 36
HÌNH 16. HOẠT ĐỘNG CỦA CÔNG CỤ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................................. 37
HÌNH 17. CẤU HÌNH MÃ NGUỒN CÔNG CỤ ........................................................................................ 38
HÌNH 18. KHỞI CHẠY DỊCH VỤ GIÁM SÁT .......................................................................................... 39
HÌNH 19. ĐĂNG NHẬP VÀO WEBSITE QUẢN TRỊ................................................................................. 40
HÌNH 20. THÊM ĐỊA CHỈ URL CỦA WEBSITE CẦN GIÁM SÁT .......................................................... 40
HÌNH 21. NỘI DUNG THAY ĐỔI GIAO DIỆN ........................................................................................ 41
HÌNH 22. WEBSITE SAU KHI BỊ TẤN CÔNG ......................................................................................... 41
HÌNH 23. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 42
HÌNH 24. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC (00H39) VÀ SAU KHI BỊ THAY ĐỔI (00H50) ... 42
HÌNH 25. WEBSITE TIN TỨC SAU KHI BỊ TẤN CÔNG .......................................................................... 43
HÌNH 26. WEBSITE TIN TỨC SAU KHI TẮT THÔNG BÁO ..................................................................... 44
HÌNH 27. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 44
HÌNH 28. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 45
HÌNH 29. WEBSITE SAU KHI BỊ TẤN CÔNG ......................................................................................... 46
HÌNH 30. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 46
HÌNH 31. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 47
HÌNH 32. MÃ NGUỒN NỘI DUNG THAY ĐỔI GIAO DIỆN ................................................................... 48
HÌNH 33. HÌNH ẢNH SAU KHI BỊ TẤN CÔNG ....................................................................................... 49
HÌNH 34. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 49
HÌNH 35. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU KHI BỊ THAY ĐỔI ................................... 49
HÌNH 36. HỆ THỐNG SAU KHI BỊ TẤN CÔNG CHÈN MÃ. ................................................................... 50
HÌNH 37. HỆ THỐNG SAU KHI TẮT THÔNG BÁO ................................................................................ 51
HÌNH 38. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 51
HÌNH 39. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 52
HÌNH 40. HỆ THỐNG SAU KHI BỊ TẤN CÔNG ...................................................................................... 53
HÌNH 41. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 53
HÌNH 42. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 54
HÌNH 43. HỆ THỐNG SAU ĐĂNG NHẬP KHI BỊ TẤN CÔNG CHÈN MÃ .............................................. 55
HÌNH 44. SAU KHI TẮT THÔNG BÁO .................................................................................................... 55
HÌNH 45. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 55
HÌNH 46. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 56
DANH MỤC BẢNG BIỂU
BẢNG 1. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CÔNG XSS ................................... 14
BẢNG 2. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CÔNG SQL INJECTION ................. 16
BẢNG 3. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN CÁC TẤN CÔNG DIRECTORY TRAVERSAL
................................................................................................................................ 18
BẢNG 4. KẾT HỢP WEBSITE BỊ THAY ĐỔI VÀ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................. 30
ĐẶT VẤN ĐỀ
Thế giới đang bước vào cuộc cách mạng công nghiệp lần thứ tư với sự phát
triển bùng nổ của những công nghệ mang tính đột phá như trí tuệ nhân tạo (AI -
Artificial Inteligence), máy tính lượng tử (Quantum Computers), Internet của vạn
vật (IoT - Internet of Things), công nghệ điện toán đám mây (Cloud Computing),
dữ liệu nhanh (Fast Data), dữ liệu lớn (Big Data), v.v. Bên cạnh đó chúng ta luôn
phải đối mặt với các cuộc tấn công an ninh mạng từ các đối tượng có hành vi xấu,
thủ đoạn ngày càng tinh vi và hiện đại mà ngay cả những ông lớn trong ngành công
nghệ như Google, Apple, Facebook cũng thường xuyên bị tấn công. Do đó, công
tác bảo đảm an toàn, an ninh mạng, an ninh thông tin đang là một vấn đề cấp thiết
hiện nay.
Thực tế, tình trạng tấn công qua mạng giữa các quốc gia diễn ra ngày càng
nghiêm trọng, Việt Nam đang là quốc gia có tốc độ phát triển về công nghệ thông
tin nhanh nhất tại khu vực Đông Nam Á. Hàng loạt trang/ cổng thông tin điện tử
ra đời phục vụ cho nhu cầu của người dùng như: truyền tải tin tức, bán hàng, quảng
bá sản phẩm, quảng bá nhãn hiệu, giới thiệu công ty, v.v. Song song với sự phát
triển đó là các vấn đề về bảo mật, lợi dụng những lỗ hổng bảo mật từ hệ thống máy
chủ, lỗ hổng website để tấn công làm thay đổi giao diện, gián đoạn giao dịch, đánh
cắp dữ liệu, v.v. Trong đó, tấn công thay đổi giao diện (Deface) là cách thức tấn
công phổ biến, làm thay đổi giao diện, thay đổi nội dung, hình ảnh nhằm gây tổn
thất nghiệm trọng cho các đơn vị sở hữu như: tổn thất uy tín đơn vị/ công ty, làm
gián đoạn truy cập, đánh cắp dữ liệu khách hàng, thêm từ nội dung nhạy cảm, thay
đổi sản phẩm, v.v bằng mắt thường, rất khó có thể nắm bắt được những thay đổi
trên website một cách chi tiết, hoặc những vấn đề thay đổi liên quan đến mã nguồn
của website do tin tặc chèn vào. Những thay đổi có thể ảnh hưởng trực tiếp hoặc
gián tiếp đến website như: gây ngừng hoạt động, dữ liệu hiển thị sai, chuyển hướng
đến trang khác để thực hiện hành vi đánh cắp dữ liệu, thay đổi hình ảnh hoặc nội
dung bài viết. Hiện nay cũng đã có nhiều bộ công cụ hỗ trợ giám sát và phát hiện
tấn công này như Site24x7, VNCS, Nagios, v.v. Tuy nhiên các công cụ phát hiện
và giám sát an ninh, giám sát tấn công vào website, tấn công thay đổi giao diện
website còn nhiều hạn chế như: hầu hết là các công cụ phải trả phí với giá thành
khá cao, còn sử dụng công nghệ cũ khiến những kẻ tấn công có thể biết được cách
thức phát hiện để có thể vượt qua được sự phát hiện của bộ công cụ đó. Các lỗ
hổng, các cách thức tấn công mới có thể được cập nhật liên tục và hệ thống huấn
luyện để máy có thể học một cách nhanh chóng mà người quản trị thường sẽ bị
động đối với các cuộc tấn công này.
1
Xuất phát từ những lí do trên, đề tài “Phát hiện tấn công website
defacement” sẽ nghiên cứu các biện pháp để tiến hành xử lý các yêu cầu đã đề ra.
Mục đích của đề tài là nghiên cứu, áp dụng các hình thức tấn công, các cơ chế,
công cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mô hình và cài đặt thử
nghiệm giải pháp phát hiện khi có tấn công thay đổi giao diện website.
Nội dung của luận văn đề tài được cấu trúc như sau:
Chương I. TỔNG QUAN VỀ TÌNH TRẠNG TẤN CÔNG THAY ĐỔI
GIAO DIỆN
Tiến hành nghiên cứu tổng quan về tấn công thay đổi giao diện; các hình
thức, kỹ thuật tấn công thay đổi giao diện phổ biến; các cơ chế, công cụ phục vụ
phát hiện, cảnh báo tấn công thay đổi giao diện.
Chương II. PHÂN TÍCH, THIẾT KẾ MÔ HÌNH GIẢI PHÁP PHÁT
HIỆN VÀ GIÁM SÁT TẤN CÔNG THAY ĐỔI GIAO DIỆN
Với bài toán cụ thể, chương này sẽ tiến hành đề xuất xây dựng mô hình,
phân tích thiết kế hệ thống để xây dựng các cơ chế giám sát và phát hiện tấn công
thay đổi giao diện.
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MÔ HÌNH
PHÁT HIỆN TẤN CÔNG THAY ĐỔI GIAO DIỆN
Từ đó mô hình đã xây dựng, triển khai các chức năng, xây dựng kịch bản
và thử nghiệm để kiểm tra lại các kết quả lý thuyết đã nghiên cứu.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong các Thầy, Cô và đồng nghiệp đóng góp ý
kiến xây dựng.
Xin chân thành cảm ơn !
2
CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN
Hiện nay các website ngày phổ biến và đa dạng chức năng và được sử dụng
rộng rãi bởi các cá nhân, cơ quan, tổ chức. Cũng chính vì lý do trên thì website là
một trong những mục tiêu hướng đến trước tiên nếu hacker muốn đánh cắp thông
tin, tấn công một hệ thống của tổ chức, cơ quan nào đó. Có nhiều hình thức để có
thể tấn công một website trong đó có tấn công thay đổi giao diện. Trong chương
này sẽ tìm hiểu về tấn công thay đổi giao diện website, kỹ thuật phát hiện tấn công
thay đổi giao diện, một số công cụ giám sát và cảnh báo an ninh cho website.
1.1. Hiện trạng tấn công thay đồi giao diện hiện nay
1.1.1. Tấn công thay đổi giao diện là gì?
Defacement (bôi nhọ) là hành vi phá hoại hình ảnh của một ai, một thứ, một
đơn vị nào đó. Tấn công thay đổi giao diện (website defacement) là việc sửa đổi
trái phép giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Với
hình thức tấn công này, kẻ tấn công, phá hoại thay thế các thông tin của website
gốc bằng các nội dung khác như các thông điệp chính trị, bôi nhọ, thêm nội dung
nhạy cảm, thay đổi mô tả sản phẩm gây tổn hại nghiêm trọng đến uy tín của doanh
nghiệp, làm gián đoạn truy cập website. Nói cách khác, khi người dùng truy cập
vào địa chỉ của trang web đó thì giao diện của một trang web khác hoặc nội dung
khác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà tin
tặc muốn truyền tải.
Một số ví dụ đơn giản để chúng ta dễ hình dung:
Hình 1 là bằng chứng vụ website Tân Sơn Nhất vào 8/3/2017, một tin tặc
đã đăng nội dung cảnh báo về lỗ hổng tồn tại trong website này sau khi hack thành
công. Tin tặc này khẳng định “Tôi có thể rooted rồi hack cả server nhưng tôi không
làm thế. Vui lòng nhắn tin. Và tôi không hề đụng chạm gì tới database ngoại trừ
up shell và up index.”
3
Hình 1. Website của sân bay Tân Sơn Nhất bị tấn công thay đổi giao diện
Chiều ngày 29/7, website của Tổng công ty Hàng không Việt Nam bị tấn
công thay đổi giao diện (deface). Sự cố này diễn ra trong khoảng 30 phút, sau đó
trang trở lại hoạt động bình thường. Trong thời gian trên, trang
vietnamairlines.com hiển thị nội dung liên quan đến nhóm 1937CN Team, cùng
với đó là những lời tuyên bố xuyên tạc về tình hình biển Đông giữa Việt Nam,
Trung Quốc và Philippines. Hình 2 là hình ảnh website này tại thời điểm bị tấn
công.
Hình 2. Website vietnamairlines bị tấn công thay đổi giao diện
4
Có nhiều lý do để tấn công deface nhưng tựu chung lại một số lí do chính
sau:
● Thể hiện quan điểm chính trị hay tôn giáo là một trong các lý do. Có
những tin tặc tấn công những trang web chính phủ, web về tôn giáo tín ngưỡng và
lan truyền thông điệp chống đối của mình.
● Tấn công thay đổi giao diện đơn giản là để cho vui. Có những người
muốn làm việc tốt khi tìm ra lỗ hổng, có thể khai thác và tấn công thay đổi giao
diện website sẽ báo cho quản trị viên để có thể khắc phục. Và cũng có những người
muốn khẳng định, thể hiện, chứng tỏ bản thân, rất dễ bắt gặp những thông điệp
kiểu như “hacked by...” của những người này.
● Việc một website bị tấn công thay đổi giao diện sẽ chỉ gây thiệt hại tới
uy tín của tổ chức, hay cá nhân sở hữu trang web đó và sẽ không gây tổn thất lớn
tới hệ thống, dữ liệu của máy chủ. Tuy nhiên, đôi khi sẽ có tin tặc tấn công một
website nhằm đánh lạc hướng, che đậy cho hành vi phá hoại lên máy chủ (như là
tải mã độc và thực thi nó trên máy chủ nạn nhân).
Như vậy, tấn công thay đổi giao diện còn là tiền đề cho các cuộc tấn công
khác với mức độ nghiêm trọng hơn đối với máy chủ và người dùng như lừa đảo,
nặc danh, phát tán mã độc hay xóa các file cần thiết khỏi máy chủ.
1.1.2. Tình hình tấn công thay đổi giao diện hiện nay
Gần đây việc phát hiện các tấn công thay đổi giao diện website là một chủ
đề nghiên cứu vẫn còn chưa được nhận nhiều sự quan tâm của giới khoa học và
cộng đồng trong khi số lượng các cuộc tấn công ngày càng tăng. Thống kê trên
một số trang website thông báo website bị tấn công như zone-h.org tính đến thời
điểm 7/4/2021 số lượng thông báo website bị tấn công là 14.519.063 như Hình 3.
Một nền tảng khác cũng giống như zone-h là mirror-h.org cũng có thông báo
website bị tấn công thay đổi giao diện. Cùng thời điểm với zone-h thì trên trang
mirror-h có 2.286.182 kết quả báo cáo.
5
Hình 3. Số lượng kết quả báo cáo website bị tấn công thay đổi giao diện trên
mirror-h
Theo thống kê của Bộ Thông tin và Truyền thông, trong năm 2018 đã có
10220 cuộc tấn công mạng vào Việt Nam bao gồm 3198 cuộc tấn công thay đổi
giao diện. Trong 6 tháng đầu năm 2019 số lượng ghi nhận được là 3159 cuộc tấn
công vào hệ thống thông tin của Việt Nam, giảm 2684 cuộc tấn công so với năm
20181.
Theo báo cáo của Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam
– VNCERT ghi nhận 6219 cuộc tấn công mạng vào 7 tháng đầu năm 2019 được
thể hiện trong Hình 4. Trong số này thì có 2155 cuộc tấn công phishing, 3824 tấn
công thay đổi giao diện và 240 tấn công cài mã độc2.
1
VIR, “Security World 2019: security for banking and state management,” [Online]. Available:
https://mic.gov.vn/Pages/TinTuc/139157/Security-World-2019--security-for-banking-and-state-
management.html. [Accessed 22 02 2020].
2
MIC, “Vietnam suffers over 6,200 cyber attacks in seven months,” [Online]. Available:
https://mic.gov.vn/Pages/TinTuc/139417/Vietnam-suffers-over-6-200-cyber-attacks-in-seven-
months.html. [Accessed 20 03 2020].
6
Hình 4. Biểu đồ thống kê tấn công mạng tính đến 7/2019
Cũng theo báo cáo của Bộ Thông tin và Truyền thông đã có 1056 cuộc tấn
công mạng vào hệ thống thông tin của Việt Nam trong bốn tháng đầu năm 2020
được thể hiện cụ thể trong Hình 5. Cụ thể có 553 cuộc tấn công phishing, 280 cuộc
tấn công thay đổi giao diện, 223 tấn công cài mã độc, giảm 51,4% so với cùng kỳ
năm 2019. Riêng trong tháng 3 năm 2020 đã có 43 vụ tấn công phishing, 89 vụ tấn
công thay đổi giao diện và 71 cuộc tấn công liên quan đến mã độc3.
Hình 5. Biểu đồ thống kê tấn công mạng 4 tháng đầu năm 2020
3
vietnamnews, “Cyber attacks drop 51% in the first four months,” [Online]. Available:
https://vietnamnews.vn/economy/716404/cyber-attacks-drop-51-in-the-first-four-months.html.
[Accessed 09 05 2020].
7
Theo như thống kê của Sucuri trong báo cáo “2019 Website Threat
Research Report” thì trong năm 2019 họ thống kê rằng có 60% các trang web dễ
bị tấn công, tăng 4% so với năm 2018. Trong đó họ nhận thấy rằng 5,76% là tấn
công thay đổi giao diện4.
Riêng trong tháng 8/2020, theo thống kê của Cục An toàn thông tin
(ATTT)5, Bộ TT&TT, đơn vị này đã ghi nhận, cảnh báo và hướng dẫn xử lý 517
sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam (199 cuộc Phishing,
160 cuộc Deface, 158 cuộc Malware), giảm 0,77% so với tháng 7/2020 và có phần
giảm nhẹ liên tục trong 3 tháng gần đây. Tuy nhiên, sự theo nhận định của Cục
ATTT, do các đối tượng tấn công mạng vẫn lợi dụng sự quan tâm của toàn xã hội
đối với các vấn đề về Covid trong nước và trên thế giới, cũng như tình hình tổ chức
đại hội Đảng, bầu cử Hội đồng nhân dân các cấp để tăng cường phát tán, lây nhiễm
mã độc nên số cuộc tấn công được ghi nhận, phát hiện vẫn ở mức cao ở Việt Nam.
Bên cạnh đó, theo số liệu từ Cục CNTT và Dữ liệu tài nguyên môi trường6,
số liệu thống kê quý II và nửa đầu quý III về các trường hợp tấn công vào trang/
cổng thông tin điện tử của Việt Nam như sau:
- Trong tháng 4/2020, có 203 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 43 trường hợp tấn công thay đổi giao diện, 104
trường hợp tấn công lừa đảo (Phishing), 56 trường hợp tấn công cài cắm mã độc.
- Trong tháng 5/2020, có 96 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 22 trường hợp tấn công thay đổi giao diện, 11
trường hợp tấn công lừa đảo (Phishing), 63 trường hợp tấn công cài cắm mã độc.
- Trong tháng 6/2020, có 540 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 55 trường hợp tấn công thay đổi giao diện, 377
trường hợp tấn công lừa đảo (Phishing), 108 trường hợp tấn công cài cắm mã độc.
- Trong tháng 7/2020, có 640 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 155 trường hợp tấn công thay đổi giao diện, 370
trường hợp tấn công lừa đảo (Phishing), 115 trường hợp tấn công cài cắm mã độc.
- Trong tháng 8/2020, có 358 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 52 trường hợp tấn công thay đổi giao diện, 129
trường hợp tấn công lừa đảo (Phishing), 177 trường hợp tấn công cài cắm mã độc.
Mặc dù các cuộc tấn công thay đổi giao diện có thể gây ra hậu quả nghiêm
trọng, nhưng trong một nghiên cứu của Bartoli cho thấy nhiều đơn vị quản lý
website vẫn phản ứng chậm với các cuộc tấn công với thời gian phản hồi trung
4
Sucuri, "2019 Website Threat Research Report," Sucuri, 2020.
5
https://ais.gov.vn/
6
http://attt.dinte.gov.vn/pages/trang-chu.aspx
8
bình lên đến 72 giờ. Hơn nữa trong nghiên cứu của họ cho thấy chỉ có 24% website
bị thay đổi giao diện được khôi phục trong vòng một ngày, khoảng 50% khôi phục
trong tuần đầu tiên, trong đó có tới 37% các website phải tới tận hai tuần[1]. Từ
đó một hệ thống cần thiết cần phải nhận biết các dấu hiệu tấn công và có phản hồi
nhanh chóng để tiến hành các khôi phục cần thiết.
Nhìn chung các phương thức bảo vệ, phát hiện và khôi phục còn chưa được
áp dụng rộng rãi. Chính vì vậy cần những hệ thống có chức năng phát hiện và cảnh
báo đến quản trị viên website một cách nhanh chóng và chính xác hơn.
1.2. Các hình thức tấn công thay đổi giao diện phổ biến
Có nhiều nguyên nhân dẫn tới website bị tấn công thay đổi giao diện. Nhưng
nguyên nhân chủ yêu vẫn là webserver tồn tại nhiều lỗ hổng giúp kẻ tấn công có
thể thay đổi nội dung của website hoặc thêm file lên máy chủ web này. Thậm chí
một website vẫn có thể bị tấn công thay đổi giao diện mặc dù website đó không
tồn tại lỗ hổng, nhưng do nó được hosting trên máy chủ bị tấn công chiếm quyền
điều khiển. Những lỗ hổng trên ứng dụng web tồn tại rất nhiều. OWASP (Open
Web Application Security Project) là 1 dự án mở về bảo mật ứng dụng web. Hàng
năm OWASP sẽ công bố Top 10 lỗ hổng web có mức độ nguy hiểm cao nhất để
cảnh báo các nguy cơ bị tấn công vào ứng dụng web, giúp người quản trị có biện
pháp phát hiện và vá những lỗ hổng còn tồn tại trong hệ thống. Hình 6 dưới đây là
hai công bố của OWASP gần đây nhất.
Hình 6. Top 10 lỗ hổng vào ứng dụng web theo công bố của OWASP
năm 2013 và 20177
Để có thể tấn công thay đổi giao diện website có rất nhiều cách nhưng nhìn
chung đều là do việc tấn công và khai thác từ các lỗ hổng bảo mật . Các lỗ hổng
trên các website hay trên các máy chủ host website có thể bị khai thác để thực hiện
7
https://owasp.org/
9
LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN
[email protected]
Ngành Công nghệ thông tin
Giảng viên hướng dẫn: TS. VŨ THỊ HƯƠNG GIANG
Viện: Công nghệ thông tin và Truyền thông
HÀ NỘI, 2021
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN
[email protected]
Ngành Công nghệ thông tin
Giảng viên hướng dẫn: TS. Vũ Thị Hương Giang Chữ ký của GVHD
Viện: Công nghệ thông tin và Truyền thông
HÀ NỘI, 2021
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn: NGUYỄN ANH TUẤN.
Đề tài luận văn: Phát hiện tấn công website defacement.
Chuyên ngành: Mạng máy tính và an toàn thông tin.
Mã số SV: CB180204.
Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận
tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 29/04/2021
với các nội dung sau:
1. Đã rà soát lại chính tả, văn phòng trình bày, triển khai đầy đủ ý, không
trình bày dạng ý, gạch đầu dòng.
2. Viết lại phần tóm tắt luận văn
3. Chuyển nội dung các cơ chế phát hiện tấn công bằng biểu thức chính
quy trong mục 2.4. sang phần lý thuyết mục 1.3.1. (trang 13).
4. Sửa lại các biểu đồ và tham chiếu, diễn giải đầy đủ.
- Mô hình giải pháp đề xuất (trang 24).
- Mô hình cơ chế phát hiện thay đổi giao diện (trang 25).
- Mô hình cơ chế xác định và cảnh báo tấn công thay đổi giao diện (trang
27).
- Mô hình triển khai (trang 34).
- Thiết kế chức năng quản trị viên (trang 35).
- Thiết kế chức năng giám sát (trang 36).
- Thiết kế chức năng xác định tấn công thay đổi giao diện (trang 37).
- Hoạt động của công cụ phân tích tập tin nhật ký (trang 38).
5. So sánh với các giải pháp khác (Mục 3.6 – Trang 57).
6. Viết lại phần Kết luận và hướng phát triển (trang 58).
Ngày 10 tháng 05 năm 2021
Giáo viên hướng dẫn Tác giả luận văn
CHỦ TỊCH HỘI ĐỒNG
LỜI CẢM ƠN
Trong quá trình học tập, nghiên cứu và hoàn thiện luận văn, tác giả đã nhận
được sự động viên, khuyến khích và tạo điều kiện giúp đỡ nhiệt tình của các thầy
cô giáo, cơ quan đồng nghiệp và gia đình.
Tác giả bày tỏ lòng biết ơn sâu sắc tới các thầy cô giáo Viện Công nghệ
Thông tin và Truyền thông, Phòng Đào tạo – Bộ phận đào tạo sau đại học, Trường
Đại học Bách Khoa Hà Nội, và đặc biệt là các thầy cô giáo đã trực tiếp giảng dạy
các chuyên đề của toàn khóa học, và đã tạo điều kiện, đóng góp ý kiến cho tác giả
trong suốt quá trình học tập và hoàn thành luận văn thạc sĩ.
Tác giả xin cảm ơn chủ nhiệm đề tài “Nghiên cứu xây dựng hệ thống chuyển
đổi tiếng nói tiếng Việt sang văn bản và công cụ hỗ trợ tốc ký trong xử lý nghiệp
vụ chuyên môn” Mã số: 01C-07/02-2018-3, đã cho phép tham gia và sử dụng
những kết quả của đề tài để làm thực nghiệm trong luận văn này.
Đặc biệt, tác giả xin bày tỏ lòng biết ơn sâu sắc đến TS. Vũ Thị Hương
Giang, người đã trực tiếp hướng dẫn, tận tình chỉ bảo, giúp đỡ tác giả tiến hành
các hoạt động nghiên cứu để hoàn thành luận văn này.
Với thời gian nghiên cứu còn hạn chế, luận văn không tránh khỏi những
thiếu sót, tác giả rất mong nhận được các ý kiến đóng góp chân thành từ các thầy
cô giáo, cơ quan đồng nghiệp và bạn bè.
HỌC VIÊN
NGUYỄN ANH TUẤN
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn thạc sĩ với đề tài: “PHÁT HIỆN TẤN CÔNG
WEBSITE DEFACEMENT” là công trình nghiên cứu của riêng tôi. Các kết quả
nghiên cứu trong luận văn là trung thực và chưa từng được công bố trong bất kỳ
một công trình nào khác. Trong quá trình làm luận văn, tôi có tham khảo các tài
liệu khác nhau và đã ghi rõ nguồn của tài liệu tham khảo.
HỌC VIÊN
NGUYỄN ANH TUẤN
TÓM TẮT LUẬN VĂN THẠC SĨ
Đề tài: Phát hiện tấn công website defacement.
Tác giả luận văn: Nguyễn Anh Tuấn Khóa: 18B
Người hướng dẫn: TS. Vũ Thị Hương Giang
Từ khóa (Keyword): attack detection, defacement, web monitoring, content
modification
Nội dung tóm tắt:
Tấn công thay đổi giao diện (website defacement) là việc sửa đổi trái phép
giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Kẻ tấn công, phá
hoại thay thế các thông tin của website gốc bằng các nội dung khác như các thông
điệp chính trị, bôi nhọ, thêm nội dung nhạy cảm, thay đổi mô tả sản phẩm, v.v. gây
tổn hại nghiêm trọng đến uy tín của doanh nghiệp, làm gián đoạn truy cập website.
Những kẻ tấn công thường xâm nhập các trang web thông qua các lỗ hổng phổ
biến như local file inclusion, SQL injection, hay đoán mật khẩu nhằm chiếm quyền
truy cập, thực thi các mã độc hại. Trong bối cảnh đó, nghiên cứu và thử nghiệm
giải pháp tự động phát hiện tấn công thay đổi giao diện, làm rõ các nội dung đã bị
thay thế là một chủ đề cấp thiết.
Mục đích của đề tài là nghiên cứu các hình thức tấn công, áp dụng các cơ
chế, công cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mô hình và cài đặt
thử nghiệm giải pháp phát hiện tấn công thay đổi giao diện website.
Các đóng góp chính của tác giả bao gồm:
1. Tổng hợp các khái niệm, phương thức tấn công thay đổi giao diện
website.
2. Thiết kế quy trình phát hiện tấn công thay đổi giao diện gồm các bước
chính: thu thập thông tin website, phát hiện thay đổi, phân tích thay đổi, cảnh báo
tấn công.
3. Cài đặt thử nghiệm các module phục vụ giám sát thu thập thông tin
website, phát hiện thay đổi, lưu trữ được hình ảnh, thời gian thay đổi giao diện của
website.
4. Cài đặt thử nghiệm được một số luật phân tích thay đổi, xác định được
một số trường hợp phát hiện tấn công thay đổi giao diện.
5. Thử nghiệm giải pháp để giám sát, phát hiện tấn công trên hai đối tượng:
thứ nhất là website tin tức về môi trường nước của NAWAPI, thứ hai là website
Hệ thống hỗ trợ và quản lý biên bản cuộc họp tại UBND thành phố Hà Nội (đây là
một sản phẩm nghiên cứu của đề tài “Nghiên cứu xây dựng hệ thống chuyển đổi
tiếng nói tiếng Việt sang văn bản và công cụ hỗ trợ tốc ký trong xử lý nghiệp vụ
chuyên môn” Mã số: 01C-07/02-2018-3 do Trung tâm Tin học Công báo Thành
phố Hà Nội chủ trì).
Qua thử nghiệm các kịch bản thay đổi toàn bộ mã nguồn, chèn mã javascript
và thay đổi một phần giao diện, luận văn này đóng góp vào quá trình giám sát các
website nói chung và kiểm thử, đánh giá kết quả nghiên cứu của đề tài 01C-07/02-
2018-3 đã nêu trên.
MỤC LỤC
ĐẶT VẤN ĐỀ ....................................................................................................... 1
CHƯƠNG I. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN ............ 3
1.1. Hiện trạng tấn công thay đồi giao diện hiện nay ...................................... 3
1.1.1. Tấn công thay đổi giao diện là gì? ................................................ 3
1.1.2. Tình hình tấn công thay đổi giao diện hiện nay ............................. 5
1.2. Các hình thức tấn công thay đổi giao diện phổ biến ................................ 9
1.3. Các cơ chế, công cụ phát hiện, cảnh báo tấn công thay đổi giao diện ... 10
1.3.1. Cơ chế phát hiện tấn công thay đổi giao diện từ kiểm tra sự xâm
nhập……. ..................................................................................................... 11
1.3.2. Các cơ chế phát hiện dựa trên thay đổi nội dung, hình ảnh hiển thị
của website ................................................................................................... 18
1.3.3. Một số công cụ giám sát và phát hiện tấn công thay đổi giao
diện……........................................................................................................ 21
1.4. Kết chương ............................................................................................. 22
Chương II. PHÂN TÍCH, THIẾT KẾ MÔ HÌNH GIẢI PHÁP PHÁT HIỆN TẤN
CÔNG THAY ĐỔI GIAO DIỆN ........................................................................ 23
2.1. Mô tả bài toán ......................................................................................... 23
2.2. Mô hình giải pháp đề xuất ...................................................................... 23
2.3. Thiết kế cơ chế phát hiện thay đổi giao diện .......................................... 24
2.4. Thiết kế cơ chế xác định và cảnh báo tấn công thay đổi giao diện. ....... 26
2.5. Phân tích tập luật .................................................................................... 28
2.5.1. Xác định tấn công thay đổi giao diện thủ công............................ 29
2.5.2. Xác định tấn công thay đổi giao diện kết hợp giữa trường hợp
thay đổi và phân tích tập tin nhật ký ............................................................ 29
2.5.3. Tổng hợp tập luật ......................................................................... 31
2.6. Kết chương ............................................................................................. 32
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MÔ HÌNH PHÁT
HIỆN TẤN CÔNG THAY ĐỔI GIAO DIỆN..................................................... 33
3.1. Mô hình triển khai .................................................................................. 33
3.2. Thiết kế chức năng thực hiện các cơ chế trong công cụ giám sát .......... 34
3.2.1. Chức năng quản trị viên ............................................................... 34
3.2.2. Chức năng giám sát ..................................................................... 35
3.2.3. Thiết kế chức năng xác định tấn công thay đổi giao diện............ 36
3.3. Cấu hình, cài đặt môi trường thử nghiệm giám sát thu thập thông tin
website ............................................................................................................. 38
3.4. Thử nghiệm module giám sát thu thập thông tin website NAWAPI ..... 39
3.4.1. Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn ....................... 39
3.4.2. Kịch bản 2: Kịch bản chèn mã javascript .................................... 43
3.4.3. Kịch bản 3: kịch bản thay đổi một phần giao diện ...................... 45
3.5. Thử nghiệm module giám sát thu thập thông tin Hệ thống hỗ trợ và quản
lý biên bản cuộc họp tại UBND thành phố Hà Nội. ........................................ 47
3.5.1. Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn trang đăng
nhập……. ...................................................................................................... 48
3.5.2. Kịch bản 2: Kịch bản chèn mã javascript trang đăng nhập ........ 50
3.5.3. Kịch bản 3: kịch bản thay đổi một phần giao diện trang đăng
nhập……. ...................................................................................................... 52
3.5.4. Kịch bản 4: Kịch bản chèn mã javascript trên trang nội dung sau
đăng nhập. .................................................................................................... 54
3.6. So sánh với các giải pháp khác ............................................................... 56
3.7. Kết chương ............................................................................................. 56
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................... 57
TÀI LIỆU THAM KHẢO .................................................................................... 59
DANH MỤC HÌNH ẢNH
HÌNH 1. WEBSITE CỦA SÂN BAY TÂN SƠN NHẤT BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN ..................... 4
HÌNH 2. WEBSITE VIETNAMAIRLINES BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN ........................................ 4
HÌNH 3. SỐ LƯỢNG KẾT QUẢ BÁO CÁO WEBSITE BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN TRÊN
MIRROR-H ......................................................................................................................................... 6
HÌNH 4. BIỂU ĐỒ THỐNG KÊ TẤN CÔNG MẠNG TÍNH ĐẾN 7/2019 .................................................... 7
HÌNH 5. BIỂU ĐỒ THỐNG KÊ TẤN CÔNG MẠNG 4 THÁNG ĐẦU NĂM 2020 ....................................... 7
HÌNH 6. TOP 10 LỖ HỔNG VÀO ỨNG DỤNG WEB THEO CÔNG BỐ CỦA OWASP NĂM 2013 VÀ
2017 ................................................................................................................................................. 9
HÌNH 7. MÔ HÌNH GIẢI PHÁP ĐỀ XUẤT ............................................................................................... 23
HÌNH 8. MÔ HÌNH CƠ CHẾ PHÁT HIỆN THAY ĐỔI GIAO DIỆN .......................................................... 24
HÌNH 9. MÔ HÌNH CƠ CHẾ XÁC ĐỊNH VÀ CẢNH BÁO TẤN CÔNG THAY ĐỔI GIAO DIỆN ................ 26
HÌNH 10. THỐNG KÊ CÁC TRƯỜNG HỢP BỊ THAY ĐỔI ...................................................................... 29
HÌNH 11. TRƯỚC VÀ SAU THỬ NGHIỆM KỊCH BẢN TẤN CÔNG THAY ĐỔI TOÀN BỘ WEBSITE ...... 29
HÌNH 12. MÔ HÌNH TRIỂN KHAI ........................................................................................................... 33
HÌNH 13. THIẾT KẾ CHỨC NĂNG QUẢN TRỊ VIÊN .............................................................................. 34
HÌNH 14. THIẾT KẾ CHỨC NĂNG GIÁM SÁT ........................................................................................ 35
HÌNH 15. THIẾT KẾ CHỨC NĂNG XÁC ĐỊNH TẤN CÔNG THAY ĐỔI GIAO DIỆN .............................. 36
HÌNH 16. HOẠT ĐỘNG CỦA CÔNG CỤ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................................. 37
HÌNH 17. CẤU HÌNH MÃ NGUỒN CÔNG CỤ ........................................................................................ 38
HÌNH 18. KHỞI CHẠY DỊCH VỤ GIÁM SÁT .......................................................................................... 39
HÌNH 19. ĐĂNG NHẬP VÀO WEBSITE QUẢN TRỊ................................................................................. 40
HÌNH 20. THÊM ĐỊA CHỈ URL CỦA WEBSITE CẦN GIÁM SÁT .......................................................... 40
HÌNH 21. NỘI DUNG THAY ĐỔI GIAO DIỆN ........................................................................................ 41
HÌNH 22. WEBSITE SAU KHI BỊ TẤN CÔNG ......................................................................................... 41
HÌNH 23. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 42
HÌNH 24. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC (00H39) VÀ SAU KHI BỊ THAY ĐỔI (00H50) ... 42
HÌNH 25. WEBSITE TIN TỨC SAU KHI BỊ TẤN CÔNG .......................................................................... 43
HÌNH 26. WEBSITE TIN TỨC SAU KHI TẮT THÔNG BÁO ..................................................................... 44
HÌNH 27. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 44
HÌNH 28. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 45
HÌNH 29. WEBSITE SAU KHI BỊ TẤN CÔNG ......................................................................................... 46
HÌNH 30. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 46
HÌNH 31. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 47
HÌNH 32. MÃ NGUỒN NỘI DUNG THAY ĐỔI GIAO DIỆN ................................................................... 48
HÌNH 33. HÌNH ẢNH SAU KHI BỊ TẤN CÔNG ....................................................................................... 49
HÌNH 34. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 49
HÌNH 35. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU KHI BỊ THAY ĐỔI ................................... 49
HÌNH 36. HỆ THỐNG SAU KHI BỊ TẤN CÔNG CHÈN MÃ. ................................................................... 50
HÌNH 37. HỆ THỐNG SAU KHI TẮT THÔNG BÁO ................................................................................ 51
HÌNH 38. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 51
HÌNH 39. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 52
HÌNH 40. HỆ THỐNG SAU KHI BỊ TẤN CÔNG ...................................................................................... 53
HÌNH 41. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 53
HÌNH 42. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 54
HÌNH 43. HỆ THỐNG SAU ĐĂNG NHẬP KHI BỊ TẤN CÔNG CHÈN MÃ .............................................. 55
HÌNH 44. SAU KHI TẮT THÔNG BÁO .................................................................................................... 55
HÌNH 45. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 55
HÌNH 46. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 56
DANH MỤC BẢNG BIỂU
BẢNG 1. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CÔNG XSS ................................... 14
BẢNG 2. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CÔNG SQL INJECTION ................. 16
BẢNG 3. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN CÁC TẤN CÔNG DIRECTORY TRAVERSAL
................................................................................................................................ 18
BẢNG 4. KẾT HỢP WEBSITE BỊ THAY ĐỔI VÀ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................. 30
ĐẶT VẤN ĐỀ
Thế giới đang bước vào cuộc cách mạng công nghiệp lần thứ tư với sự phát
triển bùng nổ của những công nghệ mang tính đột phá như trí tuệ nhân tạo (AI -
Artificial Inteligence), máy tính lượng tử (Quantum Computers), Internet của vạn
vật (IoT - Internet of Things), công nghệ điện toán đám mây (Cloud Computing),
dữ liệu nhanh (Fast Data), dữ liệu lớn (Big Data), v.v. Bên cạnh đó chúng ta luôn
phải đối mặt với các cuộc tấn công an ninh mạng từ các đối tượng có hành vi xấu,
thủ đoạn ngày càng tinh vi và hiện đại mà ngay cả những ông lớn trong ngành công
nghệ như Google, Apple, Facebook cũng thường xuyên bị tấn công. Do đó, công
tác bảo đảm an toàn, an ninh mạng, an ninh thông tin đang là một vấn đề cấp thiết
hiện nay.
Thực tế, tình trạng tấn công qua mạng giữa các quốc gia diễn ra ngày càng
nghiêm trọng, Việt Nam đang là quốc gia có tốc độ phát triển về công nghệ thông
tin nhanh nhất tại khu vực Đông Nam Á. Hàng loạt trang/ cổng thông tin điện tử
ra đời phục vụ cho nhu cầu của người dùng như: truyền tải tin tức, bán hàng, quảng
bá sản phẩm, quảng bá nhãn hiệu, giới thiệu công ty, v.v. Song song với sự phát
triển đó là các vấn đề về bảo mật, lợi dụng những lỗ hổng bảo mật từ hệ thống máy
chủ, lỗ hổng website để tấn công làm thay đổi giao diện, gián đoạn giao dịch, đánh
cắp dữ liệu, v.v. Trong đó, tấn công thay đổi giao diện (Deface) là cách thức tấn
công phổ biến, làm thay đổi giao diện, thay đổi nội dung, hình ảnh nhằm gây tổn
thất nghiệm trọng cho các đơn vị sở hữu như: tổn thất uy tín đơn vị/ công ty, làm
gián đoạn truy cập, đánh cắp dữ liệu khách hàng, thêm từ nội dung nhạy cảm, thay
đổi sản phẩm, v.v bằng mắt thường, rất khó có thể nắm bắt được những thay đổi
trên website một cách chi tiết, hoặc những vấn đề thay đổi liên quan đến mã nguồn
của website do tin tặc chèn vào. Những thay đổi có thể ảnh hưởng trực tiếp hoặc
gián tiếp đến website như: gây ngừng hoạt động, dữ liệu hiển thị sai, chuyển hướng
đến trang khác để thực hiện hành vi đánh cắp dữ liệu, thay đổi hình ảnh hoặc nội
dung bài viết. Hiện nay cũng đã có nhiều bộ công cụ hỗ trợ giám sát và phát hiện
tấn công này như Site24x7, VNCS, Nagios, v.v. Tuy nhiên các công cụ phát hiện
và giám sát an ninh, giám sát tấn công vào website, tấn công thay đổi giao diện
website còn nhiều hạn chế như: hầu hết là các công cụ phải trả phí với giá thành
khá cao, còn sử dụng công nghệ cũ khiến những kẻ tấn công có thể biết được cách
thức phát hiện để có thể vượt qua được sự phát hiện của bộ công cụ đó. Các lỗ
hổng, các cách thức tấn công mới có thể được cập nhật liên tục và hệ thống huấn
luyện để máy có thể học một cách nhanh chóng mà người quản trị thường sẽ bị
động đối với các cuộc tấn công này.
1
Xuất phát từ những lí do trên, đề tài “Phát hiện tấn công website
defacement” sẽ nghiên cứu các biện pháp để tiến hành xử lý các yêu cầu đã đề ra.
Mục đích của đề tài là nghiên cứu, áp dụng các hình thức tấn công, các cơ chế,
công cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mô hình và cài đặt thử
nghiệm giải pháp phát hiện khi có tấn công thay đổi giao diện website.
Nội dung của luận văn đề tài được cấu trúc như sau:
Chương I. TỔNG QUAN VỀ TÌNH TRẠNG TẤN CÔNG THAY ĐỔI
GIAO DIỆN
Tiến hành nghiên cứu tổng quan về tấn công thay đổi giao diện; các hình
thức, kỹ thuật tấn công thay đổi giao diện phổ biến; các cơ chế, công cụ phục vụ
phát hiện, cảnh báo tấn công thay đổi giao diện.
Chương II. PHÂN TÍCH, THIẾT KẾ MÔ HÌNH GIẢI PHÁP PHÁT
HIỆN VÀ GIÁM SÁT TẤN CÔNG THAY ĐỔI GIAO DIỆN
Với bài toán cụ thể, chương này sẽ tiến hành đề xuất xây dựng mô hình,
phân tích thiết kế hệ thống để xây dựng các cơ chế giám sát và phát hiện tấn công
thay đổi giao diện.
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MÔ HÌNH
PHÁT HIỆN TẤN CÔNG THAY ĐỔI GIAO DIỆN
Từ đó mô hình đã xây dựng, triển khai các chức năng, xây dựng kịch bản
và thử nghiệm để kiểm tra lại các kết quả lý thuyết đã nghiên cứu.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong các Thầy, Cô và đồng nghiệp đóng góp ý
kiến xây dựng.
Xin chân thành cảm ơn !
2
CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN
Hiện nay các website ngày phổ biến và đa dạng chức năng và được sử dụng
rộng rãi bởi các cá nhân, cơ quan, tổ chức. Cũng chính vì lý do trên thì website là
một trong những mục tiêu hướng đến trước tiên nếu hacker muốn đánh cắp thông
tin, tấn công một hệ thống của tổ chức, cơ quan nào đó. Có nhiều hình thức để có
thể tấn công một website trong đó có tấn công thay đổi giao diện. Trong chương
này sẽ tìm hiểu về tấn công thay đổi giao diện website, kỹ thuật phát hiện tấn công
thay đổi giao diện, một số công cụ giám sát và cảnh báo an ninh cho website.
1.1. Hiện trạng tấn công thay đồi giao diện hiện nay
1.1.1. Tấn công thay đổi giao diện là gì?
Defacement (bôi nhọ) là hành vi phá hoại hình ảnh của một ai, một thứ, một
đơn vị nào đó. Tấn công thay đổi giao diện (website defacement) là việc sửa đổi
trái phép giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Với
hình thức tấn công này, kẻ tấn công, phá hoại thay thế các thông tin của website
gốc bằng các nội dung khác như các thông điệp chính trị, bôi nhọ, thêm nội dung
nhạy cảm, thay đổi mô tả sản phẩm gây tổn hại nghiêm trọng đến uy tín của doanh
nghiệp, làm gián đoạn truy cập website. Nói cách khác, khi người dùng truy cập
vào địa chỉ của trang web đó thì giao diện của một trang web khác hoặc nội dung
khác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà tin
tặc muốn truyền tải.
Một số ví dụ đơn giản để chúng ta dễ hình dung:
Hình 1 là bằng chứng vụ website Tân Sơn Nhất vào 8/3/2017, một tin tặc
đã đăng nội dung cảnh báo về lỗ hổng tồn tại trong website này sau khi hack thành
công. Tin tặc này khẳng định “Tôi có thể rooted rồi hack cả server nhưng tôi không
làm thế. Vui lòng nhắn tin. Và tôi không hề đụng chạm gì tới database ngoại trừ
up shell và up index.”
3
Hình 1. Website của sân bay Tân Sơn Nhất bị tấn công thay đổi giao diện
Chiều ngày 29/7, website của Tổng công ty Hàng không Việt Nam bị tấn
công thay đổi giao diện (deface). Sự cố này diễn ra trong khoảng 30 phút, sau đó
trang trở lại hoạt động bình thường. Trong thời gian trên, trang
vietnamairlines.com hiển thị nội dung liên quan đến nhóm 1937CN Team, cùng
với đó là những lời tuyên bố xuyên tạc về tình hình biển Đông giữa Việt Nam,
Trung Quốc và Philippines. Hình 2 là hình ảnh website này tại thời điểm bị tấn
công.
Hình 2. Website vietnamairlines bị tấn công thay đổi giao diện
4
Có nhiều lý do để tấn công deface nhưng tựu chung lại một số lí do chính
sau:
● Thể hiện quan điểm chính trị hay tôn giáo là một trong các lý do. Có
những tin tặc tấn công những trang web chính phủ, web về tôn giáo tín ngưỡng và
lan truyền thông điệp chống đối của mình.
● Tấn công thay đổi giao diện đơn giản là để cho vui. Có những người
muốn làm việc tốt khi tìm ra lỗ hổng, có thể khai thác và tấn công thay đổi giao
diện website sẽ báo cho quản trị viên để có thể khắc phục. Và cũng có những người
muốn khẳng định, thể hiện, chứng tỏ bản thân, rất dễ bắt gặp những thông điệp
kiểu như “hacked by...” của những người này.
● Việc một website bị tấn công thay đổi giao diện sẽ chỉ gây thiệt hại tới
uy tín của tổ chức, hay cá nhân sở hữu trang web đó và sẽ không gây tổn thất lớn
tới hệ thống, dữ liệu của máy chủ. Tuy nhiên, đôi khi sẽ có tin tặc tấn công một
website nhằm đánh lạc hướng, che đậy cho hành vi phá hoại lên máy chủ (như là
tải mã độc và thực thi nó trên máy chủ nạn nhân).
Như vậy, tấn công thay đổi giao diện còn là tiền đề cho các cuộc tấn công
khác với mức độ nghiêm trọng hơn đối với máy chủ và người dùng như lừa đảo,
nặc danh, phát tán mã độc hay xóa các file cần thiết khỏi máy chủ.
1.1.2. Tình hình tấn công thay đổi giao diện hiện nay
Gần đây việc phát hiện các tấn công thay đổi giao diện website là một chủ
đề nghiên cứu vẫn còn chưa được nhận nhiều sự quan tâm của giới khoa học và
cộng đồng trong khi số lượng các cuộc tấn công ngày càng tăng. Thống kê trên
một số trang website thông báo website bị tấn công như zone-h.org tính đến thời
điểm 7/4/2021 số lượng thông báo website bị tấn công là 14.519.063 như Hình 3.
Một nền tảng khác cũng giống như zone-h là mirror-h.org cũng có thông báo
website bị tấn công thay đổi giao diện. Cùng thời điểm với zone-h thì trên trang
mirror-h có 2.286.182 kết quả báo cáo.
5
Hình 3. Số lượng kết quả báo cáo website bị tấn công thay đổi giao diện trên
mirror-h
Theo thống kê của Bộ Thông tin và Truyền thông, trong năm 2018 đã có
10220 cuộc tấn công mạng vào Việt Nam bao gồm 3198 cuộc tấn công thay đổi
giao diện. Trong 6 tháng đầu năm 2019 số lượng ghi nhận được là 3159 cuộc tấn
công vào hệ thống thông tin của Việt Nam, giảm 2684 cuộc tấn công so với năm
20181.
Theo báo cáo của Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam
– VNCERT ghi nhận 6219 cuộc tấn công mạng vào 7 tháng đầu năm 2019 được
thể hiện trong Hình 4. Trong số này thì có 2155 cuộc tấn công phishing, 3824 tấn
công thay đổi giao diện và 240 tấn công cài mã độc2.
1
VIR, “Security World 2019: security for banking and state management,” [Online]. Available:
https://mic.gov.vn/Pages/TinTuc/139157/Security-World-2019--security-for-banking-and-state-
management.html. [Accessed 22 02 2020].
2
MIC, “Vietnam suffers over 6,200 cyber attacks in seven months,” [Online]. Available:
https://mic.gov.vn/Pages/TinTuc/139417/Vietnam-suffers-over-6-200-cyber-attacks-in-seven-
months.html. [Accessed 20 03 2020].
6
Hình 4. Biểu đồ thống kê tấn công mạng tính đến 7/2019
Cũng theo báo cáo của Bộ Thông tin và Truyền thông đã có 1056 cuộc tấn
công mạng vào hệ thống thông tin của Việt Nam trong bốn tháng đầu năm 2020
được thể hiện cụ thể trong Hình 5. Cụ thể có 553 cuộc tấn công phishing, 280 cuộc
tấn công thay đổi giao diện, 223 tấn công cài mã độc, giảm 51,4% so với cùng kỳ
năm 2019. Riêng trong tháng 3 năm 2020 đã có 43 vụ tấn công phishing, 89 vụ tấn
công thay đổi giao diện và 71 cuộc tấn công liên quan đến mã độc3.
Hình 5. Biểu đồ thống kê tấn công mạng 4 tháng đầu năm 2020
3
vietnamnews, “Cyber attacks drop 51% in the first four months,” [Online]. Available:
https://vietnamnews.vn/economy/716404/cyber-attacks-drop-51-in-the-first-four-months.html.
[Accessed 09 05 2020].
7
Theo như thống kê của Sucuri trong báo cáo “2019 Website Threat
Research Report” thì trong năm 2019 họ thống kê rằng có 60% các trang web dễ
bị tấn công, tăng 4% so với năm 2018. Trong đó họ nhận thấy rằng 5,76% là tấn
công thay đổi giao diện4.
Riêng trong tháng 8/2020, theo thống kê của Cục An toàn thông tin
(ATTT)5, Bộ TT&TT, đơn vị này đã ghi nhận, cảnh báo và hướng dẫn xử lý 517
sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam (199 cuộc Phishing,
160 cuộc Deface, 158 cuộc Malware), giảm 0,77% so với tháng 7/2020 và có phần
giảm nhẹ liên tục trong 3 tháng gần đây. Tuy nhiên, sự theo nhận định của Cục
ATTT, do các đối tượng tấn công mạng vẫn lợi dụng sự quan tâm của toàn xã hội
đối với các vấn đề về Covid trong nước và trên thế giới, cũng như tình hình tổ chức
đại hội Đảng, bầu cử Hội đồng nhân dân các cấp để tăng cường phát tán, lây nhiễm
mã độc nên số cuộc tấn công được ghi nhận, phát hiện vẫn ở mức cao ở Việt Nam.
Bên cạnh đó, theo số liệu từ Cục CNTT và Dữ liệu tài nguyên môi trường6,
số liệu thống kê quý II và nửa đầu quý III về các trường hợp tấn công vào trang/
cổng thông tin điện tử của Việt Nam như sau:
- Trong tháng 4/2020, có 203 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 43 trường hợp tấn công thay đổi giao diện, 104
trường hợp tấn công lừa đảo (Phishing), 56 trường hợp tấn công cài cắm mã độc.
- Trong tháng 5/2020, có 96 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 22 trường hợp tấn công thay đổi giao diện, 11
trường hợp tấn công lừa đảo (Phishing), 63 trường hợp tấn công cài cắm mã độc.
- Trong tháng 6/2020, có 540 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 55 trường hợp tấn công thay đổi giao diện, 377
trường hợp tấn công lừa đảo (Phishing), 108 trường hợp tấn công cài cắm mã độc.
- Trong tháng 7/2020, có 640 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 155 trường hợp tấn công thay đổi giao diện, 370
trường hợp tấn công lừa đảo (Phishing), 115 trường hợp tấn công cài cắm mã độc.
- Trong tháng 8/2020, có 358 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 52 trường hợp tấn công thay đổi giao diện, 129
trường hợp tấn công lừa đảo (Phishing), 177 trường hợp tấn công cài cắm mã độc.
Mặc dù các cuộc tấn công thay đổi giao diện có thể gây ra hậu quả nghiêm
trọng, nhưng trong một nghiên cứu của Bartoli cho thấy nhiều đơn vị quản lý
website vẫn phản ứng chậm với các cuộc tấn công với thời gian phản hồi trung
4
Sucuri, "2019 Website Threat Research Report," Sucuri, 2020.
5
https://ais.gov.vn/
6
http://attt.dinte.gov.vn/pages/trang-chu.aspx
8
bình lên đến 72 giờ. Hơn nữa trong nghiên cứu của họ cho thấy chỉ có 24% website
bị thay đổi giao diện được khôi phục trong vòng một ngày, khoảng 50% khôi phục
trong tuần đầu tiên, trong đó có tới 37% các website phải tới tận hai tuần[1]. Từ
đó một hệ thống cần thiết cần phải nhận biết các dấu hiệu tấn công và có phản hồi
nhanh chóng để tiến hành các khôi phục cần thiết.
Nhìn chung các phương thức bảo vệ, phát hiện và khôi phục còn chưa được
áp dụng rộng rãi. Chính vì vậy cần những hệ thống có chức năng phát hiện và cảnh
báo đến quản trị viên website một cách nhanh chóng và chính xác hơn.
1.2. Các hình thức tấn công thay đổi giao diện phổ biến
Có nhiều nguyên nhân dẫn tới website bị tấn công thay đổi giao diện. Nhưng
nguyên nhân chủ yêu vẫn là webserver tồn tại nhiều lỗ hổng giúp kẻ tấn công có
thể thay đổi nội dung của website hoặc thêm file lên máy chủ web này. Thậm chí
một website vẫn có thể bị tấn công thay đổi giao diện mặc dù website đó không
tồn tại lỗ hổng, nhưng do nó được hosting trên máy chủ bị tấn công chiếm quyền
điều khiển. Những lỗ hổng trên ứng dụng web tồn tại rất nhiều. OWASP (Open
Web Application Security Project) là 1 dự án mở về bảo mật ứng dụng web. Hàng
năm OWASP sẽ công bố Top 10 lỗ hổng web có mức độ nguy hiểm cao nhất để
cảnh báo các nguy cơ bị tấn công vào ứng dụng web, giúp người quản trị có biện
pháp phát hiện và vá những lỗ hổng còn tồn tại trong hệ thống. Hình 6 dưới đây là
hai công bố của OWASP gần đây nhất.
Hình 6. Top 10 lỗ hổng vào ứng dụng web theo công bố của OWASP
năm 2013 và 20177
Để có thể tấn công thay đổi giao diện website có rất nhiều cách nhưng nhìn
chung đều là do việc tấn công và khai thác từ các lỗ hổng bảo mật . Các lỗ hổng
trên các website hay trên các máy chủ host website có thể bị khai thác để thực hiện
7
https://owasp.org/
9