BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM

ĐỒ ÁN CHUYÊN NGÀNH

KHAI THÁC LỖ HỔNG HỆ THỐNG DỰA VÀO

MITRE ATT&CK FRAMEWORK

Ngành: AN TOÀN THÔNG TIN

Chuyên ngành: AN TOÀN THÔNG TIN

Giảng viên hướng dẫn : Đặng Hùng Kiệt

Sinh viên thực hiện : Phan Duy Tuấn
MSSV: 2011770224 Lớp: 20DATA1

TP. Hồ Chí Minh, 2023

 BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM

ĐỒ ÁN CHUYÊN NGÀNH

KHAI THÁC LỖ HỔNG HỆ THỐNG DỰA VÀO

MITRE ATT&CK FRAMEWORK

Ngành: AN TOÀN THÔNG TIN

Chuyên ngành: AN TOÀN THÔNG TIN

Giảng viên hướng dẫn : Đặng Hùng Kiệt

Sinh viên thực hiện : Phan Duy Tuấn
MSSV: 2011770224 Lớp: 20DATA1

TP. Hồ Chí Minh, 2023

 LỜI CẢM ƠN
Em xin gửi lời cảm ơn chân thành đến giảng viên Đặng Hùng Kiệt của Khoa Công
nghệ Thông tin đã hướng dẫn, đưa ra những lời khuyên hữu ích để có thể hoàn thành đồ
án môn học này.
Tuy nhiên, trong quá trình hoàn thành đồ án môn, khó tránh khỏi những thiếu sót
khi hoàn thiện và trình bày đồ án. Rất mong nhận được lời quan tâm và góp ý của thầy để
đồ án của em có thể đầy đủ và hoàn thiện hơn.
Xin chân thành cảm ơn thầy.
TP. Hồ Chí Minh, tháng 12 năm 2023

i
 LỜI CAM ĐOAN

Tôi xin cam đoan đồ án trên là công trình nghiên cứu của chúng tôi dưới sự hướng
dẫn của Giảng viên Đặng Hùng Kiệt. Những nhận định được nêu ra trong đồ án cũng là
kết quả từ sự nghiên cứu trực tiếp, nghiêm túc, độc lập của tôi dựa vào các cơ sở tìm
kiểm, hiểu biết và nghiên cứu tài liệu khoa học hay bản dịch khác đã được công bố. Đồ
án vẫn sẽ giúp đảm bảo được tính khách quan, trung thực và khoa học.
 MỤC LỤC
Trang phụ bìa

Lời cảm ơn
Lời cam đoan

Mục lục

Chương 1. TỔNG QUAN..................................................................................................1

1.1 TÌNH HÌNH AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM
HIỆN NAY......................................................................................................................1

1.1.1 Tình hình an toàn thông tin trên thế giới hiện nay..........................................1

1.1.2 Tình hình an toàn thông tin tại Việt Nam hiện nay.........................................2

1.1.3 MITRE ATT&CK Framework là gì?...............................................................5

1.1.4 Tại sao nên chọn MITRE ATT&CK Framework?...........................................5

1.2 NHIỆM VỤ ĐỒ ÁN.............................................................................................7

1.3 CẤU TRÚC ĐỒ ÁN.............................................................................................7

Chương 2. CƠ SỞ LÝ THUYẾT......................................................................................8

2.1 GIỚI THIỆU CHUNG VỀ MỐI ĐE DOẠ VÀ KỸ THUẬT TẤN CÔNG.....8

2.1.1 Giới thiệu các mối đe dọa tấn công mạng phổ biến........................................8

2.1.2 Giới thiệu một số kỹ thuật tấn công mạng cơ bản...........................................9

2.1.3 Ví dụ thực tế...................................................................................................10

2.2 GIỚI THIỆU VỀ MITRE ATT&CK FRAMEWORK..................................11

2.2.1 Mô hình cấu trúc của MITRE ATT&CK Framework....................................11

2.2.2 Mục tiêu chính của MITRE ATT&CK Framework........................................11

2.2.3 Đối tượng sử dụng MITRE ATT&CK Framework........................................12

 2.3 PHÂN LOẠI CHIẾN THUẬT VÀ KỸ THUẬT TẤN CÔNG TRONG
MITRE ATT&CK FRAMEWORK...........................................................................13

2.3.1 Chiến thuật....................................................................................................13

2.3.2 Kỹ thuật.........................................................................................................15

2.4 ỨNG DỤNG CỦA ATT&CK FRAMEWORK TRONG PHÁT TRIỂN

CHIẾN LƯỢC BẢO MẬT..........................................................................................16

2.5 CUNG CẤP THÊM THÔNG TIN VỀ CÁC NHÓM TIN TẶC NGUY
HIỂM VÀ HÀNH VI CỦA CÁC NHÓM NÀY.........................................................18

2.6 ƯU VÀ NHƯỢC ĐIỂM CỦA MITRE ATT&CK FRAMEWORK.............19

2.6.1 Ưu điểm.........................................................................................................19

2.6.2 Nhược điểm....................................................................................................19

2.7 TÍCH HỢP MITRE ATT&CK VỚI GIẢI PHÁP BẢO MẬT SIEM...........20

2.8 SO SÁNH MITRE ATT&CK, NIST VÀ MITRE D3FEND..........................20

Chương 3. KẾT QUẢ THỰC NGHIỆM.......................................................................23

3.1 Mô hình...............................................................................................................23

3.2 Công cụ thực hiện...............................................................................................23

3.3 Mô tả quá trình...................................................................................................24

3.4 Quy trình thực hiện............................................................................................24

Chương 4. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI....................................36

4.1 Kết luận...............................................................................................................36

4.2 Hướng phát triển................................................................................................36

TÀI LIỆU THAM KHẢO..............................................................................................37

 CHƯƠNG 1: TỔNG QUAN.
1.1 Tình hình an toàn thông tin trên thế giới và việt nam hiện nay.
1.1.1 Tình hình an toàn thông tin trên thế giới hiện nay.
Tình hình an toàn thông tin trên thế giới hiện nay đang đối mặt với nhiều thách thức và
biến đổi đáng kể. Ví dụ như các vụ tấn công vào hệ thống thư điện tử của Bộ Ngoại giao
Mỹ, hệ thống máy tính của Nhà trắng, Hạ viện Đức, Bộ Ngoại giao Australia,… Tài
chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn
công mạng. Chính trị, tình báo là mục tiêu lớn thứ hai với 21% các cuộc tấn công. Dưới
đây là một mô tả tổng quan về tình hình này:
 Tăng cường về mặt công nghệ: Công nghệ thông tin và truyền thông ngày càng
phát triển nhanh chóng, với sự gia tăng của các công nghệ như trí tuệ nhân tạo
(AI), học máy, và Internet of Things (IoT). Điều này đã tạo ra nhiều cơ hội mới
cho tấn công mạng và đe dọa an toàn thông tin.
 Tấn công mạng ngày càng phức tạp: Kỹ thuật tấn công mạng ngày càng tinh vi và
phức tạp hơn. Các cuộc tấn công bao hacking, phishing, và mã độc đã trở nên
thông minh hơn và khó déo bám.
 Rủi ro từ các nhóm tội phạm mạng và nhà nước: Các nhóm tội phạm mạng và các
nước có khả năng tấn công mạng đã trở nên nguy hiểm hơn. Chúng có thể tấn
công vào hệ thống quốc gia, tổ chức doanh nghiệp, và cá nhân với mục tiêu từ việc
trộm thông tin quan trọng đến làm hỏng cơ sở hạ tầng quan trọng.
 Bảo vệ dữ liệu và quyền riêng tư: Ngày càng có nhiều quy định và luật pháp về
bảo vệ dữ liệu và quyền riêng tư, như chính sách GDPR của Liên minh châu Âu và
các biện pháp tương tự ở nhiều quốc gia khác. Điều này đặt áp lực lớn lên doanh
nghiệp và tổ chức để đảm bảo rằng họ tuân thủ các quy định này.
 Sự gia tăng của tình báo trực tuyến: Nhiều nước đã tăng cường hoạt động tình báo
trực tuyến, không chỉ để bảo vệ quốc gia mình mà còn để theo dõi và tấn công các
mục tiêu nước ngoài. Điều này đã tạo ra một tình hình căng thẳng về an ninh mạng
trên toàn cầu.
1
  Sự nhận thức về an toàn thông tin: Sự nhận thức về an toàn thông tin ngày càng
tăng, với sự tham gia của cả chính phủ, tổ chức doanh nghiệp và cá nhân. Điều này
đã dẫn đến việc tăng cường đầu tư vào giáo dục và đào tạo về an toàn thông tin.
 Biện pháp đáp ứng: Tình hình an toàn thông tin đòi hỏi sự hợp tác toàn cầu và nỗ
lực liên ngành. Các tổ chức quốc tế như Liên hợp quốc và INTERPOL đã tham gia
vào việc đối phó với các mối đe dọa mạng toàn cầu.

Hình 1: Tình hình an toàn thông tin trên thế giới hiện nay.
Nhìn chung, tình hình an toàn thông tin trên thế giới hiện nay là một cuộc chiến không
ngừng nghỉ giữa các bên tấn công và các bên phòng ngự. Sự tăng cường về mặt công
nghệ và những tác động toàn cầu đã tạo ra một môi trường phức tạp và đầy thách thức đối
với an toàn thông tin. Việc duy trì một tầm nhìn rộng rãi và biện pháp đáp ứng hiệu quả
là điều cần thiết để bảo vệ dữ liệu và hệ thống quan trọng trên khắp thế giới.
1.1.2 Tình hình an toàn thông tin tại Việt Nam hiện nay.
Việt Nam lọt vào top 20 quốc gia có số lượng website bị tấn công lớn nhất thế giới trong
quý 3 năm 2018, theo Báo cáo an ninh website quý 3 năm 2018 bởi CyStack. Ở vị trí thứ
19, Việt Nam có 1.183 website bị tấn công, trong đó website doanh nghiệp là đối tượng

2
của đại đa số các tin tặc. Cụ thể, 71,51% số cuộc tấn công nhằm vào các website doanh
nghiệp, theo sau bởi website thương mại điện tử với 13,86%.

Hình 2: Tình hình an toàn thông tin tại Việt Nam hiện nay.
Thống kê từ hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia
(NCSC) thuộc Cục An toàn thông tin – Bộ Thông tin và Truyền thông, trong tháng
5/2023, Trung tâm đã ghi nhận, cảnh báo và hướng dẫn xử lý 695 cuộc tấn công mạng
gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 39,6% so với tháng 4 năm nay
giảm 17,9% so với cùng kỳ tháng 5 năm ngoái.
Tuy nhìn chung cả nước có giảm so với năm trước nhưng các đơn vị chuyên trách về
công nghệ thông tin, quản trị hệ thống cần thường xuyên rà soát từ thiết kế hạ tầng, cấu
hình an ninh, quy trình vận hành đến mã nguồn của website, cập nhật đầy đủ các bản vá
lỗ hổng. Cùng với đó, cần xây dựng các phương án giám sát 24/24h để phát hiện chủ
động và kịp thời ứng phó với các cuộc tấn công mạng.
Dưới đây là một mô tả về tình hình an toàn thông tin tại Việt Nam:

3
  Tăng cường quyền lợi và nguy cơ của người dùng: Cùng với sự phát triển của
internet và mạng xã hội, người dùng ở Việt Nam ngày càng trở nên nhạy bén hơn
với việc bảo vệ thông tin cá nhân. Những vụ vi phạm bảo mật thông tin, lừa đảo
trực tuyến và xâm nhập vào dữ liệu cá nhân đã trở thành mối đe dọa đối với cá
nhân và doanh nghiệp.
 Nâng cao nhận thức về an toàn thông tin: Chính phủ và các tổ chức liên quan đã
tăng cường hoạt động tuyên truyền và giáo dục để nâng cao nhận thức của người
dân về an toàn thông tin. Các chương trình đào tạo và hướng dẫn về cách bảo vệ
thông tin cá nhân và doanh nghiệp đang được triển khai rộng rãi.
 Chính sách và quy định về an toàn thông tin: Chính phủ Việt Nam đã đưa ra các
quy định và chính sách về an toàn thông tin để bảo vệ cơ sở hạ tầng quốc gia và dữ
liệu cá nhân. Các doanh nghiệp cũng đang phải tuân thủ các quy định này và đầu
tư vào biện pháp bảo mật để ngăn chặn các tấn công mạng.
 Các mối đe dọa từ mạng: Tình hình an toàn mạng tại Việt Nam đang phải đối mặt
với nhiều mối đe dọa, bao gồm các cuộc tấn công mạng từ cá nhân hay tổ chức có
ý đồ xấu, việc lừa đảo trực tuyến, và sự lan truyền của các phần mềm độc hại như
mã độc và ransomware.
 Phát triển ngành công nghiệp an toàn thông tin: Việt Nam đang chứng kiến sự phát
triển của ngành công nghiệp an toàn thông tin, với sự xuất hiện của nhiều công ty
chuyên cung cấp dịch vụ và sản phẩm an toàn thông tin. Điều này đồng nghĩa với
việc tạo ra cơ hội việc làm và thúc đẩy sự phát triển của ngành này.

Tóm lại, tình hình an toàn thông tin tại Việt Nam đang được quan tâm và tăng cường,
nhưng vẫn đang đối mặt với nhiều thách thức do sự phát triển nhanh chóng của công
nghệ thông tin và internet. Việc nâng cao nhận thức và thực thi chính sách an toàn thông
tin cùng với sự hợp tác của cộng đồng quốc tế sẽ đóng vai trò quan trọng trong việc đảm
bảo an toàn thông tin tại Việt Nam trong tương lai.

4
1.1.3 MITRE ATT&CK Framework là gì?
MITRE Corporation là một công ty phi lợi nhuận được thành lập vào năm 1958 với sứ
mệnh “giải quyết các vấn đề vì một thế giới an toàn hơn”. Mục tiêu này đang được hoàn
thành thông qua một cơ sở tri thức có chọn lọc của công ty với tên gọi MITRE
ATT&CK.
ATT&CK là tên viết tắt của “Adversarial Tactics, Techniques, and Common
Knowledge”, tạm dịch: Các chiến thuật, kỹ thuật phá hoại và các hiểu biết thông thường.

Hình 3: MITRE ATT&CK Framework.

MITRE ATT&CK Framework mô tả cách mà kẻ tấn công xâm nhập vào hệ thống, di
chuyển sang bên, leo thang đặc quyền,… nói chung là trốn tránh sự phòng thủ và phát
hiện của bạn. ATT&CK tổ chức các hành vi của đối thủ thành một chuỗi chiến thuật và
các mục tiêu kỹ thuật cụ thể mà kẻ tấn công muốn đạt được. Trong mỗi chiến thuật,
ATT&CK xác định một loạt các kỹ thuật mà kẻ tấn công có thể sử dụng tuỳ vào chuyên
môn của họ hoặc những yếu tố mang tính sẵn có như công cụ hoặc cách mà hệ thống của
bạn được cấu hình.
1.1.4 Tại sao nên chọn MITRE ATT&CK Framework?
MITRE ATT&CK Framework là một công cụ quan trọng trong lĩnh vực bảo mật thông
tin. Nó được sử dụng để mô tả và phân tích các kỹ thuật tấn công mà các kẻ xâm nhập
thường sử dụng, mang lại nhiều giá trị quan trọng cho các tổ chức và chuyên gia bảo mật.
Dưới đây là một số lý do nên chọn MITRE ATT&CK Framework và giá trị mà nó mang
lại:
 Hiểu rõ hơn về kẻ xâm nhập: ATT&CK Framework cung cấp một bộ tài liệu chi
tiết về các phương pháp và kỹ thuật mà các kẻ xâm nhập thường sử dụng để xâm
nhập và tiến hành các cuộc tấn công. Điều này giúp cho các chuyên gia bảo mật

5
 hiểu rõ hơn về cách các mối đe dọa hoạt động và phát triển chiến lược bảo mật
hiệu quả hơn.
 Cải thiện phát hiện và ứng phó: ATT&CK Framework giúp tăng khả năng phát
hiện các tấn công bằng cách cung cấp danh sách các dấu vết hoặc hiện tượng có
thể xuất hiện trong một hệ thống khi bị tấn công. Điều này giúp tổ chức nhanh
chóng phát hiện sự xâm nhập và ứng phó một cách nhanh chóng.
 Tăng cường kiến thức và đào tạo: ATT&CK Framework cung cấp một nguồn tài
liệu quý báu để đào tạo và giáo dục các chuyên gia bảo mật và nhân viên IT. Nó
giúp họ hiểu rõ hơn về cách hoạt động của các mối đe dọa và cách bảo vệ hệ thống
của họ.
 Chuẩn hóa và chia sẻ thông tin: ATT&CK Framework là một ngôn ngữ chung
giúp các tổ chức và chuyên gia bảo mật trò chuyện và chia sẻ thông tin về mối đe
dọa. Điều này tạo ra một sự hiểu biết chung về các mối đe dọa và cách ứng phó
với chúng trong cộng đồng bảo mật.
 Đánh giá và cải thiện bảo mật: ATT&CK Framework có thể được sử dụng để đánh
giá mức độ an toàn của một hệ thống hoặc môi trường mạng. Nó giúp tổ chức xác
định các lỗ hổng bảo mật và cải thiện chiến lược bảo mật của họ.

6
 Hình 4: Chức năng của MITRE ATT&CK Framework.
1.2 Nhiệm vụ đồ án.
Tạo ra một môi trường thử nghiệm và sau đó dựa vào hướng dẫn của MITRE ATT&CK
Framework thực hiện các hoạt động tấn công mạng mô phỏng để kiểm tra và đánh giá độ
bảo mật của hệ thống. Dưới đây là một số nhiệm vụ cụ thể được thực hiện trong dự án
này:
 Tìm hiểu về MITRE ATT&CK Framework.
 Xác định mục tiêu và tầm ảnh hưởng của phương án tấn công.
 Phân tích lỗ hổng đã phát hiện.
 Phát triển kịch bản tấn công.
 Thực hiện tấn công mô phỏng.
 Giám sát, đánh giá và tạo báo cáo.

7
1.3 Cấu trúc đồ án.
 Chương 1: Tổng quan (Phần này sẽ giới thiệu tổng quan của đồ án gồm mô tả
framework sẽ đề cập trong đồ án, giúp chúng ta có thể hiểu rõ hơn về mục đích và
phạm vi của đồ án).
 Chương 2: Cơ sở lý thuyết (Phần này sẽ giới thiệu về khái niệm cơ bản nhằm giúp
người đọc hiểu về MITRE ATT&CK Framework một cách tổng quan).
 Chương 3: Kết quả thực nghiệm (Phần này sẽ đưa ra mục tiêu khi thực hiện demo,
đưa ra mô hình muốn triển khai khi demo, các công cụ cần thiết khi thực hiện và
các bước thực hiện khi triển khai demo).
 Chương 4: Kết luận và hướng phát triển (Phần này sẽ rút ra những sai sót và lưu ý
trong quá trình thực hiện và đưa ra hướng phát triển để chương trình hoàn thiện
hơn theo góc nhìn khách quan).

8
 CHƯƠNG 2: CƠ SỞ LÝ THUYẾT.
2.1 Giới thiệu chung về mối đe doạ và kỹ thuật tấn công.
2.1.1 Giới thiệu các mối đe dọa tấn công mạng phổ biến.
Dưới đây là danh sách một số mối đe dọa phổ biến trong lĩnh vực bảo mật mạng:
 Malware (Phần mềm độc hại): Được thiết kế để gây hại cho hệ thống hoặc thu
thập thông tin mà không được phép. Ví dụ: virus, worm, trojan, ransomware và
spyware. Mã độc thường được sử dụng để đánh cắp dữ liệu, tiền mặt, hoặc để
kiểm soát hệ thống máy tính từ xa.
 Phishing: Kỹ thuật này thường bao gồm việc gửi thông điệp giả mạo thường qua
email, với mục tiêu lừa đảo người nhận để tiết lộ thông tin cá nhân hoặc thông tin
đăng nhập. Ví dụ: Email phishing, vishing (voice phishing), smishing (SMS
phishing).
 DoS/DDoS (Tấn công từ chối dịch vụ): Tấn công nhằm làm cho dịch vụ trở nên
không khả dụng bằng cách gửi lưu lượng truy cập lớn đến một máy chủ hoặc
mạng. Ví dụ: Tấn công SYN flood, tấn công amplification.
 Social Engineering (Lợi dụng tâm lý): Các kẻ tấn công thường sử dụng kỹ thuật
tâm lý lừa dối người khác để tiết lộ thông tin cá nhân hoặc thông tin quan trọng.
 Software Vulnerabilities (Lỗ hổng bảo mật phần mềm): Các ứng dụng và hệ
thống phần mềm thường có lỗ hổng bảo mật, và tấn công viên có thể tận dụng
chúng để xâm nhập hoặc gây hại.
 Insider Threats (Tấn công bên trong): Các nhân viên hoặc người có quyền truy cập
vào hệ thống có thể là nguồn đe dọa, vì họ có khả năng kiểm soát hoặc tiết lộ
thông tin không đúng cách.
 Web Application Attacks (Tấn công vào ứng dụng web): Các ứng dụng web
thường bị tấn công thông qua việc sử dụng lỗ hổng như SQL injection, cross-site
scripting (XSS), và cross-site request forgery (CSRF).

9
  Password Attack (Tấn công vào mật khẩu): Thường được sử dụng để đánh cắp
thông tin đăng nhập của người dùng hoặc kiểm soát tài khoản của họ. Ví dụ: Brute
Force Attack, Dictionary Attack, Keylogger,…

Hình 5: Các mối đe dọa tấn công mạng phổ biến.

2.1.2 Giới thiệu một số kỹ thuật tấn công mạng cơ bản.
Dưới đây là một số kỹ thuật tấn công mạng cơ bản:
 Exploit Public-Facing Application: Sử dụng lỗ hổng trong ứng dụng web hoặc
dịch vụ trực tuyến công khai để xâm nhập vào hệ thống.
 Privilege Escalation: Sử dụng các kỹ thuật để nâng cao quyền hạn truy cập, từ
người dùng thông thường lên thành quản trị viên hoặc tài khoản có quyền đặc biệt.
 Command and Control: Thiết lập và duy trì kết nối với máy chủ điều khiển từ xa
để thực hiện các hoạt động tấn công.
 Brute Force Attack: Thử tất cả các khả năng mật khẩu cho một tài khoản đăng
nhập để đánh lừa hệ thống.
 SQL Injection: Chèn mã SQL độc hại vào các trường nhập liệu để truy cập hoặc
thay đổi cơ sở dữ liệu.

10
  Cross-Site Scripting (XSS): Chèn mã JavaScript độc hại vào trang web để tấn
công người dùng cuối.
 Credential Theft: Đánh cắp thông tin đăng nhập của người dùng thông qua phần
mềm độc hại hoặc kỹ thuật xâm nhập.
 Man-in-the-Middle Attack: Tấn công mà kẻ tấn công can thiệp vào giao tiếp giữa
hai bên để đánh cắp thông tin hoặc thay đổi nó.
 Social Engineering: Sử dụng kỹ thuật tâm lý để lừa dối người dùng hoặc nhân viên
để tiết lộ thông tin quan trọng.
 Fileless Malware: Sử dụng trong bộ nhớ hệ thống để tránh phát hiện bằng cách
không cần tạo tệp trên đĩa cứng.

2.1.3 Ví dụ thực tế.

Ví dụ 1: Chiếm quyền điều khiển máy chủ quản trị tập trung Active Directory, khai thác
các lỗ hổng để truy cập trái phép vào hệ thống sau đó tạo một tài khoản quyền cao nhất
trong hệ thống.

Hình 6: Tấn công chiếm quyền điều khiển máy chủ.

Ví dụ 2: Chiếm quyền hệ thống quản trị email thông qua khai thác việc giả mạo email tới
người dùng thông thường.

11
 Hình 7: Tấn công chiếm quyền điều khiển máy chủ email.
2.2 Giới thiệu về MITRE ATT&CK Framework.
2.2.1 Mô hình cấu trúc của MITRE ATT&CK Framework.
ATT&CK Framework là một hệ thống phân loại và mô tả các chiến thuật và kỹ thuật tấn
công mạng mà các kẻ tấn công có thể sử dụng để xâm nhập vào một môi trường máy tính
và thực hiện các hoạt động xâm nhập, truy cập, và kiểm soát hệ thống từ đó giúp các tổ
chức xác định các lỗ hổng trong hệ thống và đề ra các biện pháp để bảo vệ an ninh mạng
cho hệ thống của mình.

Hình 8: Mô hình cấu trúc của MITRE ATT&CK Framework.

2.2.2 Mục tiêu chính của MITRE ATT&CK Framework.
 Mô tả chi tiết các kỹ thuật tấn công: ATT&CK Framework cung cấp một bộ dữ
liệu phong phú về các kỹ thuật, chiến lược và phương pháp mà các kẻ xâm nhập

12
 thường sử dụng để tấn công mạng và hệ thống. Điều này giúp cộng đồng bảo mật
có một hiểu biết chi tiết và sâu rộng về cách hoạt động của các mối đe dọa.
 Phát triển khả năng phát hiện: ATT&CK Framework giúp tổ chức nâng cao khả
năng phát hiện các cuộc tấn công bằng cách cung cấp danh sách các dấu vết hoặc
hiện tượng mà các tấn công có thể để lại. Điều này giúp người quản trị hệ thống và
chuyên gia bảo mật nhanh chóng nhận biết sự xâm nhập và phản ứng kịp thời.
 Tạo ra khung làm việc chung: ATT&CK Framework cung cấp một khung làm
việc chung cho cộng đồng bảo mật, giúp đối phó với các mối đe dọa mạng một
cách hiệu quả hơn. Khung làm việc này bao gồm danh sách các tác vụ và kỹ thuật
có thể được sử dụng để phân tích, phát hiện, và đối phó với các cuộc tấn công.
 Chia sẻ thông tin và học hỏi: MITRE ATT&CK Framework tạo ra một ngôn ngữ
chung cho cộng đồng bảo mật để chia sẻ thông tin về các mối đe dọa và kỹ thuật
tấn công. Điều này giúp các tổ chức học hỏi từ nhau và tạo ra một sự hiểu biết
chung về cách đối phó với các tấn công.

2.2.3 Đối tượng sử dụng MITRE ATT&CK Framework.

 Red Team: Là một nhóm chuyên gia hoặc cơ quan bảo mật thực hiện các hoạt
động tấn công nhằm đánh giá và kiểm tra độ bảo mật của một tổ chức hoặc hệ
thống, phát triển và thử nghiệm các kịch bản tấn công, xác định các lỗ hổng bảo
mật và khả năng phát hiện, cung cấp báo cáo về các rủi ro và khuyến nghị cải thiện
bảo mật. Red Team thường hành động như một kẻ tấn công thực sự dưới sự cho
phép của đơn vị, tổ chức yêu cầu.
 Blue team: Là một nhóm bảo mật hoặc tổ chức bảo mật nội bộ chịu trách nhiệm
xây dựng và duy trì hệ thống bảo mật của tổ chức. Blue Team hoạt động như một
đội ngũ phòng thủ, tập trung vào giám sát, phát hiện và đối phó với các cuộc tấn
công, xây dựng và duy trì các giải pháp bảo mật như tường lửa, IDS/IPS, antivirus,
… cải thiện bảo mật dựa trên kết quả từ Red Team và các sự kiện bảo mật trước
đó.

13
  Ngoài ra còn một số đối tượng khác có thể sử dụng MITRE ATT&CK Framework
chẳng hạn như các nhà cung cấp dịch vụ bảo mật mạng, giảng viên đào tạo về bảo
mật mạng, học sinh-sinh viên có nhu cầu về tìm hiểu và triển khai các kỹ thuật về
an ninh mạng nhằm mục đích học tập,…

2.3 Phân loại chiến thuật và kỹ thuật tấn công trong MITRE ATT&CK
Framework.
2.3.1 Chiến thuật.
 Reconnaissance (Thăm dò): Liên quan đến việc thu thập thông tin chi tiết về môi
trường, hệ điều hành, phiên bản,… của mục tiêu trước khi thực hiện bước tiếp theo
của cuộc tấn công. Ví dụ: Active Scanning, Search Open Websites/Domains,…
 Resource Development (Phát triển Tài nguyên): Liên quan đến việc phát triển
phần mềm độc hại để thực hiện các cuộc tấn công bao gồm việc phát triển mã độc
hại mới hoặc tùy chỉnh mã độc hại hiện có để tránh phần mềm chống vi-rút và
phát hiện xâm nhập. Ví dụ: Malware Development, Attack Technique
Development,…
 Initial Access (Tiếp cận ban đầu): Tập trung vào các chiến thuật và kỹ thuật mà kẻ
tấn công sử dụng để tiếp cận ban đầu hệ thống mục tiêu. Ví dụ: Spear-phishing,
Drive-by Compromise, Exploit Public-Facing Application.
 Execution (Thực thi): Liên quan đến các hoạt động tấn công để thực hiện mã độc
và kiểm soát hệ thống mục tiêu. Ví dụ: PowerShell, Command-Line Interface,
Scripting, Scheduled Task.
 Persistence (Duy trì quyền truy cập): Liên quan đến các kỹ thuật dùng để duy trì
quyền truy cập và tồn tại trên hệ thống sau khi tiếp cận ban đầu đã được thực hiện.
Ví dụ: Registry Run Keys / Startup Folder, Service, Scheduled Task.
 Privilege Escalation (Leo thang đặc quyền): Tập trung vào các hoạt động tấn công
để nâng cao quyền truy cập từ vai trò thường xuyên lên các quyền truy cập đặc
biệt hơn. Ví dụ: Exploitation for Privilege Escalation, Bypass User Account
Control.

14
 Defense Evasion (Tránh phòng thủ): Liên quan đến các kỹ thuật sử dụng để tránh
phát hiện và phản ứng từ phía phòng thủ. Ví dụ: Obfuscated Files or Information,
Deception, Anti-virus Evasion.
 Credential Access (Đánh cắp thông tin đăng nhập): Tập trung vào việc đánh cắp
thông tin đăng nhập và chứng chỉ để tiếp tục cuộc tấn công. Ví dụ: Credential
Dumping, Steal Web Session Cookie, Password Spraying.
 Discovery (Khám phá hệ thống): Mô tả: Bao gồm việc thu thập thông tin về môi
trường mục tiêu để chuẩn bị cho các hoạt động tấn công tiếp theo. Ví dụ: Query
Registry, System Network Configuration Discovery, Account Discovery.
 Lateral Movement (Mở rộng mục tiêu khai thác): Mô tả: Liên quan đến việc kẻ tấn
công chuyển động từ một máy tính hoặc mạng con sang máy tính hoặc mạng con
khác trong hệ thống mục tiêu. Ví dụ: Remote Desktop Protocol, SMB/Windows
Admin Shares, Pass the Ticket.
 Collection (Thu thập): Liên quan đến việc thu thập thông tin, dữ liệu và tài liệu
quan trọng từ hệ thống mục tiêu. Ví dụ: Data from Local System, Data from
Network Shared Drive, Data Staged.
 Command and Control (Kiểm soát và điều khiển): Tập trung vào việc thiết lập và
duy trì các kênh liên lạc giữa kẻ tấn công và hệ thống mục tiêu. Ví dụ: Remote
Access Tools, Data Encoding,…
 Exfiltration (Truyền dữ liệu ra ngoài): Tập trung vào việc truyền dữ liệu và thông
tin đánh cắp ra khỏi môi trường mục tiêu. Ví dụ: Exfiltration Over Command and
Control Channel, Exfiltration Over Alternative Protocol, Transfer Data to Cloud
Account.
 Impact (Thay đổi hoặc phá hủy dữ liệu): Mô tả: Liên quan đến việc gây hại cho hệ
thống hoặc dữ liệu trong môi trường mục tiêu. Ví dụ: Data Destruction, Disk
Structure Wipe, Firmware Corruption.

15
 Hình 9: 14 chiến thuật tấn công của mô hình MITRE ATT&CK Framework.
2.3.2 Kỹ thuật.
 Phishing: Tấn công bằng cách gửi email, thông điệp tin nhắn giả mạo để lừa người
dùng vào cung cấp thông tin cá nhân hoặc bấm vào liên kết độc hại.
 Exploit Public-Facing Application: Sử dụng lỗ hổng trong các ứng dụng web hoặc
dịch vụ trực tuyến công khai để xâm nhập vào hệ thống.
 Spearphishing Attachment: Tấn công bằng cách gửi email giả mạo chứa tệp đính
kèm chứa mã độc để lây nhiễm máy tính của nạn nhân.
 Credential Dumping: Thu thập và trộm thông tin đăng nhập (mật khẩu) từ hệ
thống mục tiêu để sử dụng sau này.
 Lateral Movement: Di chuyển ngang qua hệ thống mạng bằng cách sử dụng thông
tin đăng nhập đánh cắp hoặc các lỗ hổng trong mạng.
 Data Exfiltration: Trích xuất và chuyển dữ liệu quan trọng ra khỏi mạng mục tiêu
bằng cách sử dụng các phương thức khác nhau.
 Command and Control: Thiết lập và duy trì kết nối với máy chủ điều khiển từ xa
để thực hiện các hoạt động tấn công.
16
  File Deletion: Xóa tệp và dấu vết liên quan để che giấu hoạt động tấn công.
 Data Encryption: Mã hóa dữ liệu trên máy tính của nạn nhân để đánh cắp dữ liệu
và yêu cầu tiền chuộc.
 PowerShell: Sử dụng PowerShell (một công cụ mạnh của Windows) để thực hiện
các hoạt động tấn công, thường được sử dụng để thực hiện mã độc và lưu trữ
thông tin đăng nhập.
 WMI (Windows Management Instrumentation): Sử dụng WMI để thực hiện các
hoạt động tấn công bằng cách tương tác với hệ thống Windows.
 Registry Run Keys / Startup Folder: Thực hiện khởi động tự động các mã độc
bằng cách sửa đổi khóa Registry hoặc thêm vào thư mục khởi động.
 DLL Injection: Chèn mã độc vào tiến trình khác để thực hiện các hoạt động tấn
công mà không cần tạo tiến trình mới.
 Kerberoasting: Tấn công vào hệ thống xác thực Kerberos để tìm kiếm và thu thập
các giá trị bí mật.
 Pass the Hash: Sử dụng giá trị băm của mật khẩu để xác thực mà không cần biết
mật khẩu thực sự.

2.4 Ứng dụng của ATT&CK Framework trong phát triển chiến lược bảo mật.
Các tổ chức ngày nay cần thiết lập một mạng lưới an toàn, vừa chủ động phòng thủ vừa
phản ứng trước các cuộc tấn công mạng. Phát triển chiến lược bảo mật dựa trên
ATT&CK Framework là một cách hiệu quả để cải thiện khả năng phát hiện và phòng
ngừa các cuộc tấn công mạng. Dưới đây là một số ứng dụng để phát triển một chiến lược
bảo mật dựa trên ATT&CK Framework:
 Thu thập thông tin: Bắt đầu bằng việc thu thập thông tin về môi trường mạng bao
gồm hệ thống, ứng dụng, dịch vụ và dữ liệu quan trọng. Xác định các hệ thống
quan trọng và dữ liệu quan trọng cần được bảo vệ.
 Xác định các mối đe dọa tiềm ẩn: Sử dụng ATT&CK Framework để xác định các
kỹ thuật tấn công tiềm ẩn mà các kẻ tấn công có thể sử dụng để xâm nhập vào hệ
thống. Tập trung vào các phần mềm độc hại và kỹ thuật tấn công mạng phổ biến.

17
 Phân loại các mối đe dọa: Phân loại các mối đe dọa dựa trên cách chúng tương tác
với hệ thống và mức độ nghiêm trọng của chúng. Điều này giúp xác định ưu tiên
về mối đe dọa và tập trung vào những kỹ thuật tấn công quan trọng nhất.
 Xác định biện pháp bảo vệ: Sử dụng ATT&CK Framework để xác định các biện
pháp bảo vệ có thể được triển khai để ngăn chặn hoặc phát hiện các kỹ thuật tấn
công. Điều này có thể bao gồm cải thiện cơ sở hạ tầng mạng, triển khai phần mềm
bảo mật, cập nhật và quản lý chính sách bảo mật và đào tạo nhân viên.
 Thiết lập cơ chế phát hiện: Xây dựng các cơ chế phát hiện dựa trên các chỉ mục
của ATT&CK như theo dõi các sự kiện mạng và hệ thống, sử dụng các giải pháp
bảo mật như SIEM (Security Information and Event Management) và triển khai
phân tích hành vi động (Behavioral Analysis).
 Thực hiện kiểm tra và thử nghiệm: Thử nghiệm chiến lược bảo mật bằng cách mô
phỏng các cuộc tấn công sử dụng các kỹ thuật đã xác định từ ATT&CK
Framework. Kiểm tra xem các biện pháp bảo vệ và cơ chế phát hiện có hoạt động
đúng cách và hiệu quả hay không.
 Giám sát và nâng cao: Liên tục giám sát môi trường mạng và cập nhật chiến lược
bảo mật dựa trên những học được từ các cuộc tấn công thực tế hoặc thử nghiệm.
Điều này đòi hỏi một quá trình liên tục để cải thiện và tối ưu hóa chiến lược bảo
mật.
 Đào tạo và nâng cao nhận thức: Đào tạo nhân viên và nâng cao nhận thức về bảo
mật để đảm bảo rằng tất cả mọi người trong tổ chức đều hiểu về các mối đe dọa và
biện pháp bảo vệ.
 Đánh giá lại định kỳ: Đánh giá lại chiến lược bảo mật định kỳ để đảm bảo rằng nó
vẫn hiệu quả và phù hợp với môi trường mạng thay đổi và các mối đe dọa mới.
 Thực hiện cải tiến liên tục: Liên tục cải tiến chiến lược bảo mật dựa trên các kiến
thức đã học được để phù hợp với sự phát triển liên tục cũng những mối đe doạ mới
trong môi trường mạng.

18
2.5 Cung cấp thêm thông tin về các nhóm tin tặc nguy hiểm và hành vi của các
nhóm này.
Ngoài việc giúp hiểu rõ hơn về cách mà kẻ tấn công tận dụng những lỗ hổng trong hệ
thống, MITRE cũng cung cấp một danh sách toàn diện có tên là APT (Advanced
Persistent Threat) Groups, trình bày chiến thuật và kỹ thuật cụ thể mà các nhóm tin tặc
nổi bật trên thế giới đang sử dụng. Điều này giúp cộng đồng an ninh mạng có cái nhìn
sâu rộng và tường tận về vấn đề mà mình đang gặp phải. Dưới đây là một số nhóm APT
tiêu biểu:
 APT28 / Fancy Bear / Sofacy: Liên quan đến nước Nga, được cho là liên kết với
hoạt động tình báo quốc gia nhằm vào các đối thủ chính trị.
 APT32 / OceanBuffalo / Cobalt Kitty: Liên quan đến Việt Nam, đã tham gia vào
nhiều chiến dịch tấn công các mục tiêu trong và ngoài nước.
 APT34 / OILRIG: Liên quan đến Iran, được biết đến với các hoạt động tấn công
chính trị và kinh tế.
 APT41 / Winnti Group: Được cho là có nguồn gốc tại Trung Quốc, có nhiều mục
tiêu, từ tình báo, đánh cắp các bí mật quốc phòng đến các lợi ích kinh tế.

Hình 10: Danh sách APT Group.

19
2.6 Ưu và nhược điểm của MITRE ATT&CK Framework.
2.6.1 Ưu điểm.
 Phân tích khả năng đối mặt với đa dạng các kỹ thuật tấn công: MITRE ATT&CK
cung cấp một ma trận chi tiết về các kỹ thuật tấn công và chiến thuật sử dụng bởi
tin tặc. Điều này giúp tổ chức có cái nhìn rõ ràng về đa dạng của mối đe dọa và
cách chúng có thể tận dụng các lỗ hổng bảo mật.
 Hỗ trợ xây dựng chiến lược phòng ngự dựa trên chiến thuật và kỹ thuật cụ thể:
Giúp tổ chức hiểu rõ cách các kỹ thuật và chiến thuật tương tác với nhau, từ đó tạo
nên chiến lược phòng ngự hiệu quả hơn. Việc này giúp cải thiện khả năng nhận
biết, phòng ngự và phản ứng khi có tấn công.
 Tích hợp với nhiều công cụ và nền tảng an ninh: ATT&CK không chỉ là một
khung làm việc mà còn là một cộng đồng, được hỗ trợ và tích hợp với nhiều công
cụ và nền tảng an ninh khác nhau. Điều này tạo điều kiện cho việc áp dụng và tích
hợp nhanh chóng vào các hệ thống an ninh hiện đại.

2.6.2 Nhược điểm.

 Thiếu chi tiết trong việc mô tả các kỹ thuật mới và tiến triển của tin tặc: ATT&CK
không thể bao quát mọi loại kỹ thuật và cách tin tặc phát triển chiến thuật mới. Do
đó, nó có thể không cung cấp đầy đủ thông tin về các mối đe dọa mới và phương
thức tấn công đổi mới.
 Đòi hỏi sự diễn tập định kỳ để cập nhật thông tin mới và chính xác: Tình trạng an
ninh mạng liên tục thay đổi và ATT&CK cũng phải ngày càng cập nhật để đảm
bảo độ chính xác. Điều này đòi hỏi sự thử nghiệm diễn tập thường xuyên để theo
dõi và áp dụng các cập nhật mới nhất.
 Gặp khó khăn khi áp dụng trong môi trường mạng phức tạp: Trong các môi trường
lớn và phức tạp, việc triển khai và sử dụng ATT&CK có thể gặp khó khăn do yêu
cầu nguồn lực lớn và khả năng tích hợp với các hệ thống an ninh tồn tại.

20
2.7 Tích hợp MITRE ATT&CK với giải pháp bảo mật SIEM.
Một trong những giải pháp bảo mật SIEM có thể kể đến là Splunk. Là một nền tảng quản
lý dữ liệu và giám sát mạnh mẽ, có khả năng tích hợp mạnh mẽ với MITRE ATT&CK
Framework để cung cấp giải pháp an ninh mạng toàn diện và hiệu quả. Việc tích hợp giữa
Splunk và MITRE ATT&CK không chỉ giúp tổ chức theo dõi và phát hiện các mối đe
dọa mạng một cách chi tiết mà còn tạo ra cơ hội tối ưu hóa chiến lược bảo mật, tự động
hóa quy trình phát hiện và phản ứng đối với các tình huống đe dọa. Các quy trình tự động
và cảnh báo giúp tổ chức phát hiện từ sớm, phản ứng nhanh chóng đối với các mô hình
tấn công và thậm chí có thể ngăn chặn chúng trước khi gây hậu quả nặng nề.

Hình 11: Tích hợp MITRE ATT&CK với Splunk.

2.8 So sánh MITRE ATT&CK, NIST và MITRE D3FEND.
Trong thế giới an ninh mạng, có nhiều giải pháp được sử dụng để giúp các tổ chức có thể
hiểu rõ và phòng chống các mối đe dọa về an ninh mạng, trong đó có 3 giải pháp nổi bật:
MITRE ATT&CK, NIST và MITRE D3FEND.
 MITRE ATT&CK tập trung vào các chiến thuật và kỹ thuật được những kẻ tấn
công sử dụng, cung cấp và phân loại toàn diện về hành vi của kẻ tấn công.
Framework này mang tính kỹ thuật cao và cung cấp sự hiểu biết chi tiết về cách
thức hoạt động của kẻ tấn công, cho phép các tổ chức nắm bắt và phát triển các
chiến lược phòng thủ hiệu quả hơn.

21
 Hình 12: MITRE ATT&CK Framework.
 NIST (National Institute of Standards and Technology) là một tổ chức thuộc chính
phủ Hoa Kỳ. NIST chịu trách nhiệm đề xuất và xét duyệt cá tiêu chuẩn, phương án
bảo mật và công nghệ để hỗ trợ, cải thiện an toàn thông tin và hiệu suất mạng.
NIST được thiết kế gồm 5 yêu cầu: “Xác định - bảo vệ - phát hiện - ứng phó -
phục hồi”. Các hướng dẫn và tiêu chuẩn của NIST thường được tổ chức và doanh
nghiệp sử dụng để xây dựng và duy trì chính sách và biện pháp bảo mật, đồng thời
nâng cao khả năng đối phó với các mối đe dọa an ninh thông tin.

Hình 13: NIST.

 MITRE D3FEND cung cấp một cách hệ thống hóa biện pháp bảo vệ và chiến lược
phòng thủ một cách chi tiết. MITRE D3FEND được thiết kế để hoạt động cùng
với Mitre ATT&CK, trong khi ATT&CK tập trung vào tiêu chuẩn hóa TTP tấn
công thì D3FEND tập trung vào phòng thủ bởi Blue Team. MITRE D3FEND một
phần dựa trên 500 bằng sáng chế về biện pháp đối phó trong hai thập kỷ qua. Vì
rất chi tiết nên khung này có thể hướng dẫn kiến trúc, thiết kế và triển khai các
biện pháp phòng vệ an ninh mạng.

22
Hình 14: MITRE D3FEND Framework.

23
 CHƯƠNG 3: KẾT QUẢ THỰC NGHIỆM.
3.1 Mô hình.

Hình 15: Mô hình tấn công.

Hình 16: Các bước tấn công theo mô hình MITRE ATT&CK Framework.
3.2 Công cụ thực hiện.
 Công cụ ảo hóa VMWare.
 Windows Server 12 làm máy chủ.

24
  Kali Linux làm máy tấn công (Burp Suite, Nmap, Sqlmap, Hydra, Knock,
CrackStation).

3.3 Mô tả quá trình.

 BUG 1 (SQLi leads to Databases Users): Server DC-09 chạy một dịch vụ web
trong đó chức năng Search tồn tại lỗ hổng SQL Injection do không sàng lọc và xử
lý dữ liệu mà người dùng nhập vào. Từ đó cho phép kẻ tấn công truy xuất trái
phép dữ liệu từ cơ sở dữ liệu.
 BUG 2 (Local File Inclusion - LFI): Ứng dụng web với quyền admin có hỗ trợ
chức năng manage, sau khi đăng nhập với user admin ta thấy ở chân trang hiển thị
rằng “File does not exist”, điều này có nghĩa là phải có một tệp được đưa vào chân
trang hiện bị thiếu hoặc đặt sai vị trí. Từ đó xảy ra lỗ hổng LFI cho phép kẻ tấn
công khai thác để đọc hoặc thực thi một tệp bất kỳ trên web server.
 BUG 3 (Privilege Escalation to Root): Sau khi đăng nhập với tư cách người dùng
fredf lấy được từ cuộc tấn công Brute Force SSH, tạo 1 tài khoản trên hệ thống sau
đó leo thang đặc quyền cho tài khoản này và chiếm toàn bộ hệ thống.

3.4 Quy trình thực hiện.

Tiến hành ping để kiểm tra kết nối tới trang web.

Hình 17: Ping để kiểm tra kết nối tới trang web.
Dùng công cụ Burp Suite trên Kali để kiểm tra web có lỗ hổng hay không. Kết quả phát
hiện trang web có lỗ hổng SQL Injection ở mục Search do không kiểm soát và xử lý đúng
các dữ liệu người dùng nhập vào trong các câu lệnh SQL.

25
 Hình 18: Kiểm tra các chức năng trên trang web.

Hình 19: Dùng công cụ Burp Suite phát hiện lỗ hổng SQL Injection.
Lưu nội dung gói request và sử dụng công cụ Sqlmap trên Kali để tiến hành dump
database.

26
 Hình 20: Dùng công cụ Sqlmap để khai thác cơ sở dữ liệu.
Kết quả ta thu được 3 cơ sở dữ liệu gồm: information_schema, Staff và users.

Hình 21: Khai thác cơ sở dữ liệu thành công.

Trong cơ sở dữ liệu Staff chứa 2 bảng. Bảng đầu tiên bao gồm id, email, số điện thoại,
tên, họ và chức vụ của người dùng. Bảng thứ hai bao gồm tên người dùng là admin và
hàm băm mật khẩu. Ta thấy rằng đây có thể là một tài khoản quan trọng.

27
 Hình 22: Thu thập được các dữ liệu từ cơ sở dữ liệu.
Sử dụng trang web https://crackstation.net/ để tiến hành crack password được mã hóa
hash md5. Kết quả ta thu được mật khẩu sau khi giải mã là: transorbital1.

Hình 23: Giải mã mật khẩu bị mã hoá.

Từ tài khoản trên ta đã đăng nhập thành công vào trang web.

28
 Hình 24: Đăng nhập vào trang web từ tài khoản vừa khai thác được.
Phát hiện trang web có hỗ trợ chức năng manage khi đăng nhập bằng user admin. Tại
đường dẫn http://192.168.44.129/manage.php hiển thị rằng File does not exist, điều này
có nghĩa là phải có một tệp được đưa vào chân trang hiện bị thiếu hoặc đặt sai vị trí. Có
thể khai thác lỗ hổng LFI (Local File Inclusion) tại đây.

Hình 25: Phát hiện lỗ hổng LFI trên trang web.

29
Tiến hành kiểm tra xem trang web có bị lỗ hổng Path Traversal hay không, tại đường dẫn
http://192.168.44.129/manage.php ta thêm 1 parameter với nội dung file (ví dụ: ?
file=../../../../../../etc/passwd). Kết quả trả về nội dung file /etc/passwd.

Hình 26: Khai thác lỗ hổng LFI để đọc file /etc/passwd.

Lợi dụng lỗ hổng Path Traversal này ta có thể xem file cấu hình knockd.conf, SSH được
cấu hình trong file này, thông qua đó ta có thể biết các cấu hình quan trọng về SSH.

Hình 27: lỗ hổng LFI để đọc file knockd.conf.

30
Dùng công cụ Nmap trên Kali để quét và kiểm tra trạng thái của port 22.

Hình 28: Dùng công cụ Nmap quét port 22.

Xác nhận SSH không mở, ta dùng công cụ Knocker trên Kali cùng với 3 khóa trong file
knockd.conf, tiến hành knock port SSH.

Hình 29: Dùng công cụ Knocker để mở port 22.

Sau khi knock port thì port 22 đã mở.

Hình 30: Mở port 22 thành công.

Sau khi có dịch vụ SSH, ta cần thông tin đăng nhập để vào có thể kết nối SSH, thử dùng
tài khoản admin nhưng không được. Ta quay lại cơ sở dữ liệu người dùng mà ta đã khai
thác được từ cơ sở dữ liệu và tạo 2 từ điển từ cột username và password để tấn công
Brute Force dịch vụ SSH.

31
 Hình 31: Khai thác dữ liệu từ cơ sở dữ liệu.

Hình 32: Tạo 2 từ điển user.txt và pass.txt để tấn công Brute Force dịch vụ SSH.
Sau khi tạo 2 từ điển user.txt và pass.txt, ta dùng công cụ Hydra trên Kali để tấn công
Brute Force dịch vụ SSH. Kết quả thu được tài khoản janitor với mật khẩu Ilovepeepee.

32
 Hình 33: Dùng công cụ Hydra để tấn công Brute Force dịch vụ SSH.
Dùng tài khoản vừa thu thập được để kết nối SSH đến máy chủ.

Hình 34: Truy cập SSH bằng tài khoản thu được từ cuộc tấn công Brute Force.
Trong quá trình thăm dò hệ thống, ta chạy lệnh ls -al và phát hiện ra rằng có 1 thư mục
.secret-for-putin đáng chú ý.

Hình 35: Thăm dò hệ thống.

Khi truy cập thư mục, ta phát hiện ra 1 danh sách mật khẩu được ẩn cho 1 dịch vụ nào đó,
thêm mật khẩu vào pass.txt và tiến hành tấn công Brute Force dịch vụ SSH một lần nữa.

33
 Hình 36: Khai thác các folder, file đáng nghi.
Kết quả thu được tài khoản fredf với mật khẩu B4-Tru3-001.

Hình 37: Khai thác thông tin từ máy chủ và tiến hành tấn công Brute Force SSH từ
thông tin thu được.
Sau khi đăng nhập với tư cách người dùng fredf, ta kiểm tra xem người dùng fredf này có
loại quyền sudo nào không? Ta thấy rằng nó có thể chạy một chương trình có tên
là test với tư cách là người dùng root mà không cần nhập bất kỳ mật khẩu nào.

34
 Hình 38: Thăm dò hệ thống.
Chạy chương trình thử nghiệm nhưng không có gì xảy ra.

Hình 39: chạy thử file test.

Để kiểm tra kĩ hơn, ta đi đến vị trí mà ta tìm thấy file test được lưu và kiểm tra xem nội
dung source code của nó. Ta thấy rằng đó là một chương trình nối dữ liệu đơn giản. Nó sẽ
lấy 2 tệp làm tham số và sau đó nối nội dung của tệp đầu tiên vào bên trong tệp thứ hai.

Hình 40: Đi đến thư mục chứa file test để kiểm tra.
35
Vì đoạn code python được thực thi trong chương trình dưới quyền root không cần
password, ta có thể lợi dụng điều này để leo thang đặc quyền quản trị hệ thống bằng cách
tạo 1 user với quyền root vào file /tmp/pdt, sau đó dùng file test.py để chuyển nội dung từ
file /tmp/pdt vào file /etc/passwd. Trước tiên ta cần tạo 1 người dùng có tài khoản là
pdtdzvl với mật khẩu là 12345.

Hình 41: Tạo 1 người dùng.

Thêm người dùng vào file /tmp/pdtdzvl, dấu hai chấm : và “:0:0:” để tạo mục nhập có thể
đóng vai trò là người dùng root.

Hình 42: Thêm người dùng vào file /tmp/pdtdzvl.

Chạy file test.py để tiến hành chèn nội dung của file /tmp/pdtdzvl vào file /etc/paswd.

Hình 43: Chạy file test.py để tiến hành chèn nội dung của file.
Kiểm tra kết quả, ta thấy đã leo thang đặc quyền thành quyền root thành công.

Hình 44: Kiểm tra kết quả.

36
 CHƯƠNG 4: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI.
4.1 Kết luận.
Trong thời đại công nghệ phát triển hiện nay, việc đảm bảo an ninh thông tin trên không
gian mạng đang là vấn đề dành được nhiều sự quan tâm. Nguy cơ mất an toàn thông tin
đang là mối đe dọa lớn và ngày càng gia tăng đối với an ninh quốc gia. Có nhiều mục tiêu
mà tin tặc thường nhắm tới như các máy chủ dịch vụ mạng, hệ thống cơ sở hạ tầng mạng,
các công ty, cơ quan, tổ chức có giá trị. Chính vì thế, việc xây dựng một chiến lược
phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các tổ chức nên thực hiện để
chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên
khó lường và phức tạp.
MITRE ATT&CK Framework tập hợp danh sách tất cả các TTP được quan sát từ các vụ
tấn công thực tế. Nếu như tổ chức đang lo lắng về một mối đe dọa nào đó, ví dụ
Ransomware Darkside, Ryuk, DdoS,… thì họ có thể sử dụng MITRE ATT&CK
Framework như một công cụ để tham chiếu những TTP nào mà các tin tặc đang sử dụng,
và bắt đầu đo đếm để đảm bảo triển khai các biện pháp kiểm soát dò tìm và ngăn chặn
chúng.
4.2 Hướng phát triển.
Nghiên cứu và mô phỏng các tình huống tấn công phức tạp hơn, bao gồm các kỹ thuật kết
hợp và tấn công theo chuỗi. Điều này giúp hiểu rõ hơn về cách mà kẻ tấn công có thể tận
dụng nhiều kỹ thuật để xâm nhập vào hệ thống.
Tập trung vào việc phát triển và kiểm tra khả năng phát hiện tấn công và phản ứng trong
thời gian thực. Sử dụng các công cụ SIEM để giám sát sự kiện bảo mật và phản ứng
nhanh chóng đối với chúng.
Chia sẻ kiến thức và kinh nghiệm với các nhân viên bảo mật trong tổ chức. Hướng dẫn và
đào tạo họ về cách thực hiện tấn công mô phỏng và cách tăng cường bảo mật. Nghiên cứu
và triển khai các giải pháp và công cụ bảo mật để cải thiện khả năng phát hiện và phản
ứng đối với các tấn công dựa trên MITRE ATT&CK Framework.

37
Tài liệu tham khảo
[1]. https://attack.mitre.org/
[2]. https://www.youtube.com/watch?v=Yxv1suJYMI8
[3]. https://github.com/redcanaryco/atomic-red-team

[4]. https://github.com/cisagov/Decider/
[5]. https://tapchicongthuong.vn/bai-viet/thuc-trang-an-toan-thong-tin-mang-hien-nay-
o-viet-nam-va-giai-phap-phong-chong-vi-pham-phap-luat-tren-khong-gian-mang-
103127.htm
[6]. https://vneconomy.vn/gan-700-cuoc-tan-cong-mang-tai-viet-nam-trong-thang-
5.htm
[7]. https://cystack.net/blog/tinh-hinh-an-ninh-mang
[8]. https://mic.gov.vn/mic_2020/Pages/TinTuc/159054/Xay-dung-chien-luoc-phong-
thu-dua-tren-cac-moi-de-doa-an-ninh-mang.html
[9]. Lê Văn Thắng (2019), “An ninh thông tin của Việt Nam trong điều kiện hiện nay:
Thực trạng, vấn đề đặt ra và giải pháp”, Đề tài khoa học cấp Nhà nước, Hà Nội.

38