ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Lateral Movement và Pivot Attack là hai thuật ngữ trong lĩnh vực bảo mật thông tin liên quan đến việc di chuyển và mở rộng quyền truy cập của kẻ tấn công trong một hệ thống mạng. Dưới đây là sự khác biệt giữa Lateral Movement và Pivot Attack:

1. Lateral Movement (Di chuyển ngang): Lateral Movement là quá trình mà kẻ tấn công di chuyển từ một máy chủ hoặc thiết bị sang một máy chủ hoặc thiết bị khác trong cùng mạng. Mục tiêu của Lateral Movement là mở rộng sự kiểm soát và truy cập trong hệ thống mạng. Kẻ tấn công sử dụng các lỗ hổng bảo mật hoặc thông tin đăng nhập thu thập được để tiếp cận các tài nguyên khác trong mạng, nhằm tăng khả năng tiếp cận vào dữ liệu và tài nguyên quan trọng.
2. Pivot Attack (Tấn công Pivot): Pivot Attack là một dạng tấn công nâng cao trong đó kẻ tấn công sử dụng một máy chủ hoặc thiết bị đã xâm nhập thành công để tiếp tục tấn công vào các mạng hoặc vùng mạng khác trong cơ sở hạ tầng. Kẻ tấn công sử dụng máy chủ hoặc thiết bị đã chiếm đóng để làm trung gian và tạo một “pivot point” (điểm pivot) để tiếp tục tấn công các hệ thống mạng khác trong mạng cục bộ hoặc qua các kết nối mạng khác như VPN hoặc mạng riêng ảo.

Tóm lại, Lateral Movement là quá trình di chuyển của kẻ tấn công giữa các máy chủ hoặc thiết bị trong cùng mạng, trong khi Pivot Attack là một dạng tấn công nâng cao trong đó kẻ tấn công sử dụng một máy chủ hoặc thiết bị đã xâm nhập thành công để tiếp tục tấn công vào các mạng hoặc vùng mạng khác trong cơ sở hạ tầng.

Dù là hai khái niệm khác nhau, Lateral Movement và Pivot Attack cũng có một số điểm tương đồng. Dưới đây là một số điểm giống nhau giữa hai thuật ngữ này:

1. Mục tiêu mở rộng quyền truy cập: Cả Lateral Movement và Pivot Attack đều nhằm mở rộng quyền truy cập của kẻ tấn công trong hệ thống mạng. Bằng cách di chuyển hoặc sử dụng máy chủ đã xâm nhập, kẻ tấn công mong muốn tiếp cận và kiểm soát các tài nguyên, dữ liệu quan trọng hoặc hệ thống khác trong mạng.
2. Sự sử dụng của lỗ hổng bảo mật: Cả Lateral Movement và Pivot Attack đều dựa trên việc tìm kiếm và sử dụng các lỗ hổng bảo mật để tiếp cận và điều khiển các hệ thống khác trong mạng. Kẻ tấn công tận dụng những điểm yếu này để di chuyển hoặc tiếp tục tấn công trong hệ thống mạng.
3. Mở cửa cho các tấn công tiếp theo: Cả Lateral Movement và Pivot Attack đều tạo cơ hội cho kẻ tấn công thực hiện các cuộc tấn công tiếp theo. Bằng cách mở rộng quyền truy cập và kiểm soát, kẻ tấn công có thể tiếp tục thâm nhập vào các hệ thống và mạng khác, từ đó tăng cường khả năng tấn công và gây hại trong môi trường mạng.

Tuy nhiên, cũng cần lưu ý rằng mặc dù có điểm tương đồng, Lateral Movement và Pivot Attack vẫn có một số sự khác biệt quan trọng trong cách thực hiện và phạm vi tấn công.

Ví dụ về Pivot Attack sử dụng Metasploit Framework, hãy xem xét tình huống sau:

1. Kẻ tấn công đã xâm nhập thành công vào một máy chủ Windows trong một mạng nội bộ của một công ty. Tuy nhiên, máy chủ này không chứa thông tin nhạy cảm hoặc tài liệu cần thiết cho kẻ tấn công.
2. Thay vào đó, máy chủ này được sử dụng như một điểm pivot (pivot point) để tiếp tục tấn công vào các hệ thống khác trong mạng nội bộ. Và attacker sẽ tiến hành định tuyến để có thể truy cập vào mạng bên trong hệ thống. Tiếp theo đó …
3. Kẻ tấn công sử dụng Metasploit Framework để tìm kiếm và khai thác các lỗ hổng trên máy chủ đã xâm nhập. Họ sử dụng một module khai thác phù hợp với lỗ hổng được tìm thấy.
4. Sau khi khai thác thành công máy chủ, kẻ tấn công thiết lập payload để chèn vào máy chủ này. Payload này sẽ tạo ra một kết nối backdoor hoặc mở một cổng lắng nghe trên máy chủ để kẻ tấn công có thể truy cập từ xa.
5. Bước tiếp theo, kẻ tấn công sử dụng Metasploit Framework để tìm kiếm các hệ thống mạng khác trong mạng nội bộ. Họ sử dụng các công cụ như “port scanning” để tìm ra các máy chủ hoặc thiết bị đang chạy và mở các dịch vụ mạng.
6. Khi đã tìm thấy một máy chủ hoặc thiết bị khác, kẻ tấn công sử dụng Metasploit Framework và payload đã được cấu hình trước đó để thực hiện cuộc tấn công từ xa vào máy chủ mới.
7. Nếu cuộc tấn công thành công, kẻ tấn công sẽ có quyền kiểm soát máy chủ mới và có thể tiếp tục thâm nhập vào hệ thống, sao chép, xóa hoặc lấy cắp dữ liệu, hoặc thực hiện các hoạt động xâm nhập khác.

Qua ví dụ trên, có thể thấy rõ cách sử dụng Metasploit Framework để thực hiện Pivot Attack, nghĩa là sử dụng một máy chủ đã bị xâm nhập để tiếp tục tấn công vào các hệ thống khác trong mạng nội bộ.

Ví dụ về Lateral Movement sử dụng Metasploit Framework, hãy xem xét tình huống sau:

1. Kẻ tấn công đã xâm nhập thành công vào một máy chủ Windows trong một mạng nội bộ của một công ty. Máy chủ này chứa thông tin quan trọng và dữ liệu nhạy cảm.
2. Sau khi xâm nhập thành công, kẻ tấn công sử dụng Metasploit Framework để thực hiện Lateral Movement và tiếp tục tấn công vào các máy trạm hoặc máy chủ khác trong mạng nội bộ.
3. Kẻ tấn công sử dụng công cụ “Mimikatz” trong Metasploit Framework để lấy thông tin chứng chỉ (credentials) như tên đăng nhập và mật khẩu đã được lưu trữ trên máy chủ Windows đã xâm nhập. Mimikatz được sử dụng để bẻ khóa bảo mật (pass-the-hash) hoặc thu thập thông tin đăng nhập của người dùng.
4. Với thông tin chứng chỉ thu được, kẻ tấn công sử dụng Metasploit Framework để tấn công vào máy trạm hoặc máy chủ khác trong mạng nội bộ bằng cách sử dụng thông tin chứng chỉ này. Họ có thể sử dụng các module khai thác khác trong Metasploit Framework để thực hiện cuộc tấn công từ xa.
5. Nếu cuộc tấn công thành công, kẻ tấn công sẽ có quyền kiểm soát máy trạm hoặc máy chủ mới và có thể thực hiện các hoạt động xâm nhập khác như sao chép, xóa hoặc lấy cắp dữ liệu, cài đặt backdoor, tiếp tục Lateral Movement hoặc thậm chí điều khiển máy trạm hoặc máy chủ từ xa.

Với ví dụ trên, có thể thấy cách sử dụng Metasploit Framework để thực hiện Lateral Movement, nghĩa là tiếp tục tấn công và di chuyển từ một hệ thống đã bị xâm nhập sang các hệ thống khác trong mạng nội bộ.