Để sử dụng toàn bộ tiện ích nâng cao của Hệ Thống Pháp Luật vui lòng lựa chọn và đăng ký gói cước.
Nếu bạn là thành viên. Vui lòng ĐĂNG NHẬP để tiếp tục.
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 1118/STTTT-CNTT | Thành phố Hồ Chí Minh, ngày 25 tháng 8 năm 2016 |
Kính gửi: | - Văn phòng Ủy ban nhân dân thành phố; |
Sở Thông tin và Truyền thông thông báo các đơn vị về tình hình đảm bảo an toàn thông tin ghi nhận được từ hệ thống của thành phố. Đề nghị các đơn vị triển khai các biện pháp theo hướng dẫn tại Phụ lục đính kèm.
Đầu mối liên hệ của Trung tâm Công nghệ thông tin và Truyền thông thành phố: Ông Phạm Thiên Long, Phòng An ninh mạng, số điện thoại: 0913847324, thư điện tử: ptlong.stttt@tphcm.gov.vn./.
| KT. GIÁM ĐỐC |
PHỤ LỤC
TÌNH HÌNH AN TOÀN THÔNG TIN
(Đính kèm Công văn số 1118/STTTT-CNTT ngày 25/8/2016)
I. Các hành vi mất an toàn thông tin được phát hiện
Hệ thống đảm bảo an toàn thông tin của thành phố đã phát hiện được cảnh báo các địa chỉ IP lạ tấn công hệ thống tại các đơn vị, nội dung chi tiết như sau:
- Mức độ ảnh hưởng: Các máy trạm bị nhiễm mã độc trở thành Botnet, trao đổi dữ liệu với bên ngoài.
- Phương thức điều tra: thực hiện rà soát và nhận thấy dấu hiệu, hành vi tấn công từ bên ngoài vào hệ thống tại các đơn vị như sau:
Hệ thống đã thu thập được dữ liệu, các hành vi trao đổi của các máy trạm từ mạng trong ra mạng ngoài cụ thể là các địa chỉ IP và Domain như sau:
o 95.213.186.51
o 95.216.192.71
o 163.172.32.234
o 176.9.48.86
o 176.9.174.220
o http://atomictrivia.ru/atomic.php
o http://differentia.ru/diff.php
o http://disorderstatus.ru/order.php
o http://gvaq70s7he.ru
Theo ghi nhận các máy trạm khi bị nhiễm mã độc định kỳ nhận các yêu cầu từ các máy chủ C&C và phản hồi lại các yêu cầu từ máy chủ C&C thông qua 4 địa chỉ URL như trên và 4 địa chỉ URL được phân giải đến 5 địa chỉ trên. Trong quá trình truy vết đã phát hiện các máy trạm bị nhiễm mã độc thực hiện trao đổi thông tin qua giao thức http (cổng 80).
Loại mã độc các máy trạm bị nhiễm thuộc loại Gamarue. Các hành vi của Gamarue như sau:
o Đánh cắp thông tin nhạy cảm:
Thông tin hệ điều hành
Địa chỉ IP cục bộ
Số thứ tự của ổ đĩa (volume) gốc.
Tài khoản đặc quyền, ví dụ như quyền quản trị
o Thông tin bị đánh cắp gửi về cho máy chủ C&C; sau đó đợi các mệnh lệnh tiếp theo. Tùy thuộc vào các câu lệnh nhận được, hacker có thể làm những việc khác nhau để kiểm soát máy tính bị lây nhiễm.
o Thông tin tham khảo chi tiết theo link: http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue#tab=1
Trên hệ thống giám sát an toàn thông tin ghi nhận được như sau:
o Máy chủ 163.172.32.234 thực hiện tấn công thông qua giao thức TCP các port thực hiện tấn công: 50099, 50098, 49876, 2157, 80....
o Ứng dụng thực hiện khai thác là tập tin MSIEXEC:
Msiexec.exe là một tập tin DLL với mô tả Windows installer, kích thước 73216 bytes, vị trí winsxs\x86_microsoft-windows-installer- executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\\, được cập nhật lần cuối vào ngày 7/13/2009 4:31:52 PM, mã lỗi 0x0284 (The specified range could not be found in the range list.), phiên bản 5.0.7600.16385, registry key, và Hassie Slocum nhiễm virus là Backdoor:Win32/Delf.KA
Virus Backdoor: Win32/Delf.KA và Marian Marquardt thay đổi bốn khóa registry trong máy tính:
HKEY_CLASSES_ROOT\ShockwaveFlash.ShockwaveFlash.8\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_prng
HKEY_CLASSES_ROOT\Interface\{B90EFAA6-25E4-33D2-ACA3-94BF74DC4AB9}\ProxyStubClsid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_micr
o Theo đánh giá của Virustotal đã cảnh báo, đây là dạng mã độc mới cho đến thời điểm hiện tại có 6 đơn vị phát hiện và có bản cập nhật.
II. Các biện pháp khắc phục
- Đối với các hệ thống tại Trung tâm dữ liệu thành phố, Trung tâm CNTT-TT phối hợp với QTSC thực hiện chính sách cấm truy cập đến các địa chỉ IP và tên miền chứa mã độc đã nêu trên.
- Đối với hệ thống CNTT tại đơn vị: các đơn vị chủ động triển khai chính sách trên hệ thống tường lửa cấm truy cập các địa chỉ IP và tên miền độc hại đã nêu trên.
- Trung tâm CNTT-TT triển khai chính sách an toàn thông tin từ máy chủ Symantec đến các máy trạm tại đơn vị đã triển khai Symantec (ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305).
- Đối với các đơn vị triển khai phần mềm phòng chống mã độc riêng: đề nghị triển khai chính sách ngăn chặn mã MD5: e1d499c501dc2e1f8b451f1a43bfabed và SHA1: 32b219753cfe2cee13a5c6cdfa4398a571462305 trên phần mềm phòng chống mã độc của đơn vị.
- 1Quyết định 08/QĐ-UBND phê duyệt Kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, phát triển Chính quyền số và bảo đảm an toàn thông tin mạng năm 2023 do tỉnh Bắc Ninh ban hành
- 2Kế hoạch 142/KH-UBND năm 2023 về Ứng phó sự cố, bảo đảm an toàn thông tin mạng trong các cơ quan nhà nước trên địa bàn tỉnh Bình Thuận
- 3Quyết định 03/QĐ-UBND năm 2023 về Quy chế tổ chức và hoạt động Đội ứng cứu sự cố an toàn thông tin mạng tỉnh An Giang
- 1Quyết định 08/QĐ-UBND phê duyệt Kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, phát triển Chính quyền số và bảo đảm an toàn thông tin mạng năm 2023 do tỉnh Bắc Ninh ban hành
- 2Kế hoạch 142/KH-UBND năm 2023 về Ứng phó sự cố, bảo đảm an toàn thông tin mạng trong các cơ quan nhà nước trên địa bàn tỉnh Bình Thuận
- 3Quyết định 03/QĐ-UBND năm 2023 về Quy chế tổ chức và hoạt động Đội ứng cứu sự cố an toàn thông tin mạng tỉnh An Giang
Công văn 1118/STTTT-CNTT năm 2016 về cảnh báo an toàn thông tin do Sở Thông tin và Truyền thông Thành phố Hồ Chí Minh ban hành
- Số hiệu: 1118/STTTT-CNTT
- Loại văn bản: Công văn
- Ngày ban hành: 25/08/2016
- Nơi ban hành: Sở Thông tin và Truyền thông Thành phố Hồ Chí Minh
- Người ký: Võ Thị Trung Trinh
- Ngày công báo: Đang cập nhật
- Số công báo: Đang cập nhật
- Ngày hiệu lực: Kiểm tra
- Tình trạng hiệu lực: Kiểm tra