David “moose” Wolpoff tại Randori giải thích cách tin tặc chọn mục tiêu và hiểu “tư duy của hacker” có thể giúp chúng ta phòng thủ hiệu quả như thế nào. Đây cũng là slogan của khóa học CEH v11 do EC-Council xây dựng , đó là “Hiểu Hacker Để Chống Hacker”

Trong khoảng một thập kỷ qua, chúng ta đã chứng kiến ​​một sự thay đổi lớn đối với các dịch vụ đám mây. Đại dịch COVID-19 và trục xoay liên quan đến công việc từ xa chỉ càng đẩy nhanh xu hướng đám mây này, buộc các blue-teamer phải nhanh nhẹn hơn để bảo vệ các bề mặt dễ bị tấn công của họ. Trong khi những người bảo vệ đang thích nghi để hỗ trợ các môi trường dựa trên đám mây, các cuộc tấn công chống lại các hệ thống đám mây đã tăng 250 phần trăm trong năm ngoái.

Nhiều tài sản hơn trong môi trường điện toán đám mây tạo ra thách thức cho những người bảo vệ hay các chuyên gia bảo mât, an toàn tông tin. Nhưng thật sai lầm khi cho rằng điều này khiến mọi thứ trở nên dễ dàng hơn đối với kẻ thù hay các hacker xấu. Những kẻ tấn công sẽ không có thời gian để xem xét từng tài sản hay mục tiêu một cách chuyên sâu – số lượng tài sản có thể lên đến hàng chục nghìn đối với một doanh nghiệp lớn. Cũng giống như yêu cầu đối với đội bảo mật, đối thủ của họ cũng có những ràng buộc hay hạn chế về mặt thời gian hay phải hoạt động trong phạm vi ngân sách hạn chế và khả năng kỹ thuật của họ có giới hạn trên.

Là người được hàng trăm CISO thuê để kiểm tra khả năng phòng thủ của họ với sự tham gia của đội đỏ, tôi biết rõ rằng những người bảo vệ đang bị chôn vùi trong các cảnh báo an ninh, cố gắng tìm ra các tín hiệu phù hợp giữa những tiếng ồn. Các đội này có hàng tá ứng dụng bảo mật, danh sách kiểm tra và một đống quy trình để thực hiện các chiến lược phòng thủ. Tuy nhiên, tồn tại một khoảng cách lớn giữa cách phòng thủ của những người đội xanh và cách kẻ tấn công hay bị tấn công. Do đó hãy hiểu đối thủ – logic hay tư duy của hacker – là bước đầu tiên vững chắc để giải mã các tín hiệu quan trọng và thu hẹp khoảng cách đó. Quan điểm của kẻ tấn công và cách kẻ tấn công đánh giá tài sản để theo dõi và khai thác trên bề mặt tấn công bắt đầu bằng cách trả lời sáu câu hỏi. Và, nếu logic này được áp dụng trong doanh nghiệp, chiến lược bảo mật của họ có thể sẽ thay đổi, dẫn đến hiệu quả hơn và rủi ro thấp hơn.

1. Tôi có thể nhìn thấy thông tin hữu ích nào về mục tiêu từ bên ngoài? (Khả năng liệt kê)
   Mỗi mục tiêu trong bề mặt tấn công đều có một câu chuyện để kể, một số chi tiết hơn những mục tiêu khác. Cuối cùng, kẻ tấn công càng có thể thu thập được nhiều thông tin về một phần công nghệ được sử dụng (hoặc về một người trong tổ chức), thì chúng càng tự tin lên kế hoạch cho giai đoạn tấn công tiếp theo, vì vậy chúng có thể tự tin hơn khi xâm nhập mạng. Việc làm sáng tỏ các chi tiết về mục tiêu mô tả khả năng liệt kê – kẻ tấn công có thể xác định chi tiết mục tiêu từ bên ngoài một cách tinh vi như thế nào. Ví dụ: tùy thuộc vào dịch vụ và việc triển khai của nó, mục tiêu máy chủ web có thể báo cáo bất kỳ điều gì từ không có mã định danh máy chủ đến tên máy chủ cụ thể – “Apache” hoặc “Apache 2.4.33”. Nếu những kẻ tấn công có thể thấy phiên bản chính xác của một dịch vụ đang được sử dụng và cấu hình của nó, chúng có thể thực hiện các cuộc khai thác và tấn công chính xác, tối đa hóa cơ hội thành công và giảm thiểu tỷ lệ phát hiện.
2. Tài sản này có giá trị như thế nào đối với kẻ thù? (Mức độ quan trọng)
   Mỗi bước một hacker thực hiện đều là nỗ lực, thời gian, tiền bạc và rủi ro. Tốt hơn là gõ cửa dẫn đến một nơi nào đó hơn là mò mẫm vào các mục tiêu một cách ngẫu nhiên. Một số mục tiêu có nhiều khả năng dẫn đến một nơi nào đó hơn những mục tiêu khác vì chính mục đích của chúng khiến chúng trở thành một mục tiêu ngon lành. Những kẻ tấn công đánh giá mức độ nghiêm trọng trước khi hành động, nhằm tập trung nỗ lực vào các mục tiêu có khả năng đưa chúng đến gần mục tiêu hơn. Các thiết bị bảo mật như VPN và tường lửa, hoặc các giải pháp hỗ trợ từ xa ở ngoại vi, là những chìa khóa quan trọng đối với vương quốc – nếu xâm nhập một người có thể mở một đường dẫn đến mạng và đến các thông tin xác thực cho phép truy cập mạng nhiều hơn. Tương tự như vậy, các cửa hàng thông tin xác thực và hệ thống xác thực có thể cung cấp cho kẻ tấn công nhiều thông tin đăng nhập hơn nếu bị xâm phạm. Những kẻ tấn công tìm kiếm các công cụ cung cấp khả năng định vị và truy cập tốt nhất. Các nội dung bị lộ ra ngoài không bảo vệ và không dẫn đến dữ liệu hoặc quyền truy cập quan trọng sẽ ít có giá trị hơn đối với tin tặc.
3. Nội dung có thể khai thác được không? (Điểm yếu)
   Trái ngược với suy nghĩ thông thường, có xếp hạng CVSS mức độ nghiêm trọng cao trên danh sách CVE không có nghĩa là một mục tiêu được kẻ tấn công quan tâm. Đã có nhiều lỗ hổng “quan trọng, có thể đào sâunhưng không thực sự có thể khai thác được. Thậm chí nhiều lỗi có thể khai thác được, nhưng chỉ trong những trường hợp thực sự cụ thể. Một số có thể hoàn toàn có thể khai thác trên lý thuyết, nhưng chưa ai thực sự làm công việc để làm điều đó. Những kẻ tấn công phải xem xét chi phí và khả năng thực sự tấn công một tài sản. Nếu một bằng chứng hữu ích về khái niệm (POC) tồn tại, đó là một chỉ báo tốt. Nếu có nhiều nghiên cứu và phân tích về một lỗ hổng cụ thể, việc khai thác có thể không phải là một câu hỏi, nó có thể chỉ là công việc. Thời gian là tiền bạc, và việc khai thác cần có thời gian, vì vậy hacker phải xem xét các công cụ có sẵn ở nơi công cộng, công cụ mà họ có thể đủ khả năng xây dựng hoặc công cụ mà họ có thể mua (hãy nghĩ đến Canvas hoặc Zerodium). Đối với một nội dung cụ thể, trong một số trường hợp nhất định, kẻ thù mua các lợi ích đã được xây dựng trước đó. Điều này xảy ra nhiều hơn nhiều người nhận ra.
4. Tài sản này có Tiềm năng sau khai thác như thế nào ?
   Định nghĩa của những kẻ tấn công về “môi trường hiếu khách” là định nghĩa giúp bạn có thể sinh sống và đi lại mà không bị phát hiện. Đây là một tài sản mà phần mềm độc hại và các công cụ xoay vòng hoạt động và ở đó có rất ít biện pháp bảo vệ tồn tại. Mục tiêu này là mục tiêu mà các đội xanh không thể cài đặt bất kỳ hệ thống phòng thủ nào, vì vậy kẻ tấn công biết họ có thể hoạt động mà không lo bị phát hiện. Bất kỳ công nghệ nào được bảo vệ và giám sát đầy đủ – như thiết bị đầu cuối – đều không có lợi. Điện thoại để bàn và thiết bị VPN cũng như các thiết bị phần cứng không được bảo vệ khác được cắm vật lý vào mạng và có môi trường thực thi quen thuộc, tạo thành một máy chủ lưu trữ tuyệt vời. Nhiều thiết bị được xây dựng bằng Linux và đi kèm với một không gian người dùng hoàn chỉnh và các công cụ quen thuộc được cài đặt sẵn, khiến chúng trở thành mục tiêu có tiềm năng sau khai thác cao.
5. Mất bao lâu để phát triển một khai thác? (Nghiên cứu tiềm năng)
   Biết rằng bạn muốn tấn công một mục tiêu cụ thể và thực sự có một số khai thác hoặc kỹ thuật để làm như vậy, không phải là điều giống nhau. Khi xem xét một mục tiêu cụ thể, một hacker phải đánh giá khả năng thành công của họ trong việc phát triển một khai thác mới và với chi phí nào. Nghiên cứu lỗ hổng bảo mật (VR) không chỉ để tìm kiếm thứ để vá. Tin tặc thực hiện VR trên các mục tiêu vì chúng muốn khai thác. Chi phí của nghiên cứu đó, cùng với chi phí thử nghiệm và đánh bóng bất kỳ công cụ nào tạo ra, là một phần của việc đánh giá xem mục tiêu có đáng bị tấn công hay không. Các công cụ mã nguồn mở, được nghiên cứu kỹ lưỡng hoặc có tài liệu để có thể dễ dàng lấy và kiểm tra là những mục tiêu dễ dàng hơn. Các nền tảng đắt tiền và bí truyền (thường là phần cứng như hệ thống VoIP hoặc các thiết bị bảo mật đắt tiền một cách phi lý) yêu cầu các kỹ năng và tài nguyên đặc biệt để tấn công (mặc dù chúng hấp dẫn vì giá trị dữ liệu được lưu trữ và mức độ truy cập được cấp). Bất kỳ rào cản nào đối với việc gia nhập đều hạn chế động cơ của đối thủ nhằm vào các nền tảng, công cụ hoặc dịch vụ cụ thể.
6. Có khả năng áp dụng lại các mã khai thác đang phát triển hay không ?
   Một trong những thay đổi lớn nhất từ ​​tư duy phòng thủ sang logic của hacker là hiểu mô hình kinh doanh của những kẻ tấn công. Những kẻ tấn công đầu tư thời gian, nghiên cứu và nhân lực để tạo ra các kỳ tích và xây dựng các công cụ. Họ muốn ROI cao nhất có thể. Tổ chức của bạn rất có thể là một trong số nhiều hacker quan tâm, bởi vì kẻ thù của bạn muốn chia sẻ chi phí của họ cho nhiều nạn nhân cùng một lúc. Những kẻ tấn công đánh giá khả năng áp dụng để hiểu tiềm năng tạo và sử dụng một cách khai thác ngoài một trường hợp duy nhất. Với nguồn lực hạn chế, những kẻ tấn công tạo ra các khai thác cho các công nghệ được sử dụng rộng rãi để tạo ra tiềm năng kiếm tiền cao trên nhiều mục tiêu. Hãy nhớ khi Mac được coi là không thể cài đặt được? Vào thời điểm đó, Microsoft có nhiều thị phần hơn nên việc khai thác Windows có lợi hơn. Khi Windows trở thành mục tiêu khó hơn và máy Mac phát triển mạnh trong doanh nghiệp, điều đó sẽ thay đổi. Tương tự như vậy, các lỗ hổng trên iOS đắt hơn nhiều so với các lỗ hổng trên Android. Nhưng các lực lượng thị trường đang thúc đẩy Các lỗ hổng iOS phổ biến hơn và ít tốn kém hơn (tương đối).

Những kẻ tấn công không nhìn vào mức độ nghiêm trọng của lỗi và quyết định tấn công cái gì. Có nhiều thành phần khác trong việc lập kế hoạch cho một hành động cá nhân, đừng bao giờ coi các chuỗi dài các hành động là một phần của một cuộc tấn công. Những kẻ tấn công phải quản lý các nguồn lực trong khi cố gắng đạt được mục tiêu, hoặc thực sự là hoạt động kinh doanh của họ. Ý tưởng cho rằng đối thủ cũng phải đánh đổi là điều mà những người bảo vệ nên ghi nhớ. Để bảo vệ một doanh nghiệp, không thể bảo vệ mọi thứ, mọi nơi, mọi đối thủ, mọi lúc. Thỏa hiệp là điều không thể tránh khỏi. Tên của trò chơi trong quản lý rủi ro là đặt cược phòng thủ theo những cách tốt nhất có thể để tối ưu hóa kết quả kinh doanh. Suy nghĩ giống kẻ tấn công hơn có thể định hình mức độ ưu tiên và làm nổi bật những nội dung vừa có giá trị vừa có sức hấp dẫn đối với kẻ thù, giúp các doanh nghiệp có thể quyết định, đôi khi,

David “moose” Wolpoff, là đồng sáng lập và CTO tại Randori

BQT Security365 – Qua bài viết này chúng ta thấy công đoạn “Liệt Kê” hay Mod 4 của CEH v11 quan trọng như thế nào. Hãy thực hành và suy nghĩ thật nhiều, thật đầy đủ về kỹ thuật này ví dụ như thực hành các plugin chuyên về enum các dịch vụ của nmap, cách dùng enum4linux, công cụ smbclient, showmount hay rcpclient và những ứng dụng enum dịch vụ web như gobuster, dirbuster và nhiều ứng dùng khác.

– Nguyễn Trần Tường Vinh / CEI