ỦY BAN NHÂN DÂN
THÀNH PHỐ HỒ
CHÍ MINH
SỞ THÔNG
TIN VÀ
TRUYỀN
THÔNG
-------
|
CỘNG HÒA XÃ HỘI CHỦ NGHĨA
VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số: 1118/STTTT-CNTT
Về cảnh báo
an toàn thông tin.
|
Thành phố Hồ Chí Minh,
ngày 25 tháng 8 năm 2016
|
Kính gửi:
|
- Văn phòng Ủy ban nhân dân thành phố;
- Các Sở, ban, ngành thành phố;
- Ủy ban nhân dân các quận, huyện;
- Công ty TNHH MTV Phát triển Công viên phần mềm Quang Trung (QTSC);
- Trung tâm Công nghệ thông tin và Truyền thông (Trung tâm CNTT-TT);
|
Sở Thông tin và Truyền thông thông báo các đơn vị về
tình hình đảm bảo an toàn thông tin ghi nhận được từ hệ thống của thành phố. Đề
nghị các đơn vị triển khai các biện pháp theo hướng dẫn tại Phụ lục đính kèm.
Đầu mối liên hệ của Trung tâm Công nghệ thông tin và
Truyền thông thành phố: Ông Phạm Thiên Long, Phòng An ninh mạng, số điện thoại:
0913847324, thư điện tử: [email protected]./.
Nơi nhận:
- Như trên;
- Giám đốc, PGĐ Trinh;
- Lưu: VT, P. CNTT (MN.80).
|
KT. GIÁM ĐỐC
PHÓ GIÁM ĐỐC
Võ Thị
Trung Trinh
|
PHỤ LỤC
TÌNH HÌNH AN TOÀN THÔNG TIN
(Đính kèm Công văn số 1118/STTTT-CNTT ngày 25/8/2016)
I. Các hành vi mất an toàn thông tin được phát hiện
Hệ thống đảm bảo an toàn thông tin của thành phố đã
phát hiện được cảnh báo các địa chỉ IP lạ tấn công hệ thống tại các đơn vị, nội
dung chi tiết như sau:
- Mức độ ảnh hưởng: Các máy trạm bị nhiễm mã độc trở
thành Botnet, trao đổi dữ liệu với bên ngoài.
- Phương thức điều tra: thực hiện rà soát và nhận thấy dấu
hiệu, hành vi tấn công từ bên ngoài vào hệ thống tại các đơn vị như sau:
+ Hệ thống đã thu thập được dữ liệu, các hành vi trao
đổi của các máy trạm từ mạng trong ra mạng ngoài cụ thể là các địa chỉ IP và
Domain như sau:
o 95.213.186.51
o 95.216.192.71
o 163.172.32.234
o 176.9.48.86
o 176.9.174.220
o http://atomictrivia.ru/atomic.php
o http://differentia.ru/diff.php
o http://disorderstatus.ru/order.php
o http://gvaq70s7he.ru
+ Theo ghi nhận các máy trạm khi bị nhiễm mã độc định
kỳ nhận các yêu cầu từ các máy chủ C&C và phản hồi lại các yêu cầu từ máy
chủ C&C thông qua 4 địa chỉ URL như trên và 4 địa chỉ URL được phân giải đến
5 địa chỉ trên. Trong quá trình truy vết đã phát hiện các máy trạm bị nhiễm mã
độc thực hiện trao đổi thông tin qua giao thức http (cổng 80).
+ Loại mã độc các máy trạm bị nhiễm thuộc loại
Gamarue. Các hành vi của Gamarue như sau:
o Đánh cắp thông tin nhạy cảm:
Thông tin hệ điều hành
Địa chỉ IP cục bộ
Số thứ tự của ổ đĩa (volume) gốc.
Tài khoản đặc quyền, ví dụ như quyền quản trị
o Thông tin bị đánh cắp gửi về cho máy chủ C&C;
sau đó đợi các mệnh lệnh tiếp theo. Tùy thuộc vào các câu lệnh nhận được,
hacker có thể làm những việc khác nhau để kiểm soát máy tính bị lây nhiễm.
o Thông tin tham khảo chi tiết theo link:
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue#tab=1
+ Trên hệ thống giám sát an toàn thông tin ghi nhận được như sau:
o Máy chủ 163.172.32.234 thực hiện tấn công thông qua
giao thức TCP các port thực hiện tấn công: 50099, 50098, 49876, 2157, 80....
o Ứng dụng thực hiện khai thác là tập tin MSIEXEC:
Msiexec.exe là một tập tin DLL với mô tả
Windows installer, kích thước 73216 bytes, vị trí
winsxs\x86_microsoft-windows-installer- executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\\,
được cập nhật lần cuối vào ngày 7/13/2009 4:31:52 PM, mã lỗi 0x0284 (The
specified range could not be found in the range list.), phiên bản
5.0.7600.16385, registry key, và Hassie Slocum nhiễm virus là
Backdoor:Win32/Delf.KA
Virus Backdoor: Win32/Delf.KA và Marian
Marquardt thay đổi bốn khóa registry trong
máy tính:
HKEY_CLASSES_ROOT\ShockwaveFlash.ShockwaveFlash.8\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_prng
HKEY_CLASSES_ROOT\Interface\{B90EFAA6-25E4-33D2-ACA3-94BF74DC4AB9}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_micr
o Theo đánh giá của Virustotal đã cảnh báo, đây là dạng
mã độc mới cho đến thời điểm hiện tại có 6 đơn vị phát hiện và có bản cập nhật.
II. Các biện pháp khắc phục
- Đối với các hệ thống tại Trung tâm dữ liệu thành phố,
Trung tâm CNTT-TT phối hợp với QTSC thực hiện chính sách cấm truy cập đến các địa
chỉ IP và tên miền chứa mã độc đã nêu trên.
- Đối với hệ thống CNTT tại đơn vị: các đơn vị chủ động
triển khai chính sách trên hệ thống tường lửa cấm truy cập các địa chỉ IP và
tên miền độc hại đã nêu trên.
- Trung tâm CNTT-TT triển khai chính sách an toàn
thông tin từ máy chủ Symantec đến các máy trạm tại đơn vị đã triển khai
Symantec (ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1:
32b219753cfe2cee13a5c6cdfa4398a571462305).
- Đối với các đơn vị triển khai phần mềm phòng chống
mã độc riêng: đề nghị triển khai chính sách ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed
và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305 trên phần mềm phòng chống mã
độc của đơn vị.