Đăng nhập

Quên mật khẩu? Đăng ký mới

ĐĂNG KÝ THÀNH VIÊN MIỄN PHÍ ĐỂ

Khai thác hơn 465.000 văn bản Pháp Luật
Nhận Email văn bản mới hàng tuần
Được hỗ trợ tra cứu trực tuyến
Tra cứu Mẫu hợp đồng, Bảng giá đất
... và nhiều Tiện ích quan trọng khác

Hỗ trợ Dịch Vụ	(028) 3930 3279
Hỗ trợ trực tuyến	0906 22 99 66 0838 22 99 66

Họ và tên:

Tên Thành Viên:

Mật khẩu:

E-mail:

ĐT di động:

Tôi đã đọc và đồng ý với Thỏa Ước Dịch Vụ và Quy chế bảo vệ dữ liệu cá nhân của THƯ VIỆN PHÁP LUẬT

Bạn đã là thành viên thì đăng nhập để sử dụng tiện ích

Tên Thành Viên:

Mật khẩu:

Đăng nhập bằng Google

Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Công văn 1118/STTTT-CNTT 2016 cảnh báo an toàn thông tin Sở Thông tin Hồ Chí Minh

Số hiệu:	1118/STTTT-CNTT	Loại văn bản:	Công văn
Nơi ban hành:	Sở Thông tin và Truyền thông Thành phố Hồ Chí Minh	Người ký:	Võ Thị Trung Trinh
Ngày ban hành:	25/08/2016	Ngày hiệu lực:	Đã biết
		Tình trạng:	Đã biết

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH SỞ THÔNG TIN VÀ TRUYỀN THÔNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 1118/STTTT-CNTT Về cảnh báo an toàn thông tin.	Thành phố Hồ Chí Minh, ngày 25 tháng 8 năm 2016

Kính gửi:

- Văn phòng Ủy ban nhân dân thành phố;
- Các Sở, ban, ngành thành phố;
- Ủy ban nhân dân các quận, huyện;
- Công ty TNHH MTV Phát triển Công viên phần mềm Quang Trung (QTSC);
- Trung tâm Công nghệ thông tin và Truyền thông (Trung tâm CNTT-TT);

Sở Thông tin và Truyền thông thông báo các đơn vị về tình hình đảm bảo an toàn thông tin ghi nhận được từ hệ thống của thành phố. Đề nghị các đơn vị triển khai các biện pháp theo hướng dẫn tại Phụ lục đính kèm.

Đầu mối liên hệ của Trung tâm Công nghệ thông tin và Truyền thông thành phố: Ông Phạm Thiên Long, Phòng An ninh mạng, số điện thoại: 0913847324, thư điện tử: ptlong.stttt@tphcm.gov.vn./.

Nơi nhận:
- Như trên;
- Giám đốc, PGĐ Trinh;
- Lưu: VT, P. CNTT (MN.80).

KT. GIÁM ĐỐC
PHÓ GIÁM ĐỐC

Võ Thị Trung Trinh

PHỤ LỤC

TÌNH HÌNH AN TOÀN THÔNG TIN
(Đính kèm Công văn số 1118/STTTT-CNTT ngày 25/8/2016)

I. Các hành vi mất an toàn thông tin được phát hiện

Hệ thống đảm bảo an toàn thông tin của thành phố đã phát hiện được cảnh báo các địa chỉ IP lạ tấn công hệ thống tại các đơn vị, nội dung chi tiết như sau:

- Mức độ ảnh hưởng: Các máy trạm bị nhiễm mã độc trở thành Botnet, trao đổi dữ liệu với bên ngoài.

- Phương thức điều tra: thực hiện rà soát và nhận thấy dấu hiệu, hành vi tấn công từ bên ngoài vào hệ thống tại các đơn vị như sau:

+ Hệ thống đã thu thập được dữ liệu, các hành vi trao đổi của các máy trạm từ mạng trong ra mạng ngoài cụ thể là các địa chỉ IP và Domain như sau:

o 95.213.186.51

o 95.216.192.71

o 163.172.32.234

o 176.9.48.86

o 176.9.174.220

o http://atomictrivia.ru/atomic.php

o http://differentia.ru/diff.php

o http://disorderstatus.ru/order.php

o http://gvaq70s7he.ru

+ Theo ghi nhận các máy trạm khi bị nhiễm mã độc định kỳ nhận các yêu cầu từ các máy chủ C&C và phản hồi lại các yêu cầu từ máy chủ C&C thông qua 4 địa chỉ URL như trên và 4 địa chỉ URL được phân giải đến 5 địa chỉ trên. Trong quá trình truy vết đã phát hiện các máy trạm bị nhiễm mã độc thực hiện trao đổi thông tin qua giao thức http (cổng 80).

+ Loại mã độc các máy trạm bị nhiễm thuộc loại Gamarue. Các hành vi của Gamarue như sau:

o Đánh cắp thông tin nhạy cảm:

Thông tin hệ điều hành

Địa chỉ IP cục bộ

Số thứ tự của ổ đĩa (volume) gốc.

Tài khoản đặc quyền, ví dụ như quyền quản trị

o Thông tin bị đánh cắp gửi về cho máy chủ C&C; sau đó đợi các mệnh lệnh tiếp theo. Tùy thuộc vào các câu lệnh nhận được, hacker có thể làm những việc khác nhau để kiểm soát máy tính bị lây nhiễm.

o Thông tin tham khảo chi tiết theo link: http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue#tab=1

+ Trên hệ thống giám sát an toàn thông tin ghi nhận được như sau:

o Máy chủ 163.172.32.234 thực hiện tấn công thông qua giao thức TCP các port thực hiện tấn công: 50099, 50098, 49876, 2157, 80....

o Ứng dụng thực hiện khai thác là tập tin MSIEXEC:

Msiexec.exe là một tập tin DLL với mô tả Windows installer, kích thước 73216 bytes, vị trí winsxs\x86_microsoft-windows-installer- executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\\, được cập nhật lần cuối vào ngày 7/13/2009 4:31:52 PM, mã lỗi 0x0284 (The specified range could not be found in the range list.), phiên bản 5.0.7600.16385, registry key, và Hassie Slocum nhiễm virus là Backdoor:Win32/Delf.KA

Virus Backdoor: Win32/Delf.KA và Marian Marquardt thay đổi bốn khóa registry trong máy tính:

HKEY_CLASSES_ROOT\ShockwaveFlash.ShockwaveFlash.8\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_prng

HKEY_CLASSES_ROOT\Interface\{B90EFAA6-25E4-33D2-ACA3-94BF74DC4AB9}\ProxyStubClsid

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_micr

o Theo đánh giá của Virustotal đã cảnh báo, đây là dạng mã độc mới cho đến thời điểm hiện tại có 6 đơn vị phát hiện và có bản cập nhật.

II. Các biện pháp khắc phục

- Đối với các hệ thống tại Trung tâm dữ liệu thành phố, Trung tâm CNTT-TT phối hợp với QTSC thực hiện chính sách cấm truy cập đến các địa chỉ IP và tên miền chứa mã độc đã nêu trên.

- Đối với hệ thống CNTT tại đơn vị: các đơn vị chủ động triển khai chính sách trên hệ thống tường lửa cấm truy cập các địa chỉ IP và tên miền độc hại đã nêu trên.

- Trung tâm CNTT-TT triển khai chính sách an toàn thông tin từ máy chủ Symantec đến các máy trạm tại đơn vị đã triển khai Symantec (ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305).

- Đối với các đơn vị triển khai phần mềm phòng chống mã độc riêng: đề nghị triển khai chính sách ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305 trên phần mềm phòng chống mã độc của đơn vị.