Blog

Giao thức IEC-104 và vấn đề bảo mật

Giao thức IEC-104 và vấn đề bảo mật

Nếu như bài viết thứ 2 trong loạt bài viết bảo mật trong môi trường OT đã đi vào vấn đề bảo mật của giao thức Modbus, giao thức lâu đời và phổ biến trong môi trường công nghiệp, thì nội dung bài viết thứ 3 này là vấn đề bảo mật của giao thức IEC 60870-5-104, một giao thức truyền thông sử dụng phổ biến trong ngành điện, ngành sản xuất mà sản phẩm của nó đặc biệt quan trọng trong đời sống, sản xuất, an ninh quốc gia. Về nội dụng bài viết, sau khi giới thiệu cấu trúc và các điểm yếu bảo mật của giao thức IEC 60870-5-104, chúng tôi phân tích cách thức mã độc Industroyer tận dụng các điểm yếu bảo mật của giao thức IEC 60870-5-104 để tấn công vào hệ thống lưới điện của thủ đô Kiev (Ukraina) năm 2016.

 
Phân Tích Một Biến Thể Của Malware Kriskynote

Phân Tích Một Biến Thể Của Malware Kriskynote

Tản mạn qua các hệ thống thu thập malware,  tôi vô tình phát hiện một mẫu có địa chỉ C2 là “10.10.37.29\hotrokythuat\media\media.php”. Qua các signature của mẫu, đối chiếu với cơ sở dữ liệu của các anti-malware, tôi có thể xác định mẫu malware này thuộc dòng Kriskynote với chức năng chính là tạo backdoor và đánh cắp dữ liệu của người dùng.

 
Sơ bộ về hệ thống điều khiển công nghiệp

Sơ bộ về hệ thống điều khiển công nghiệp

Xu hướng hội tụ môi trường công nghệ thông tin truyền thống (IT – Information Technology) và môi trường vận hành công nghiệp (OT – Operational Technology) (IT/OT convergence) đã và đang diễn ra mạnh mẽ, không thể đảo ngược trên phạm vi toàn cầu. Xu hướng này một mặt nâng cao năng lực kết nối, thu thập, xử lý và trao đổi thông tin, dữ liệu, qua đó tăng cường đáng kể hiệu quả hoạt động sản xuất công nghiệp; mặt khác đặt ra những mối đe dọa về bảo mật vốn có trong môi trường IT nhưng lại chưa từng gặp trước đây trong môi trường OT. GTSC có kế hoạch xây dựng một loạt bài phân tích, đánh giá vấn đề mới mẻ này. Bài viết đầu tiên sẽ giới thiệu sơ bộ về hệ thống điều khiển công nghiệp, đóng vai trò là nền tham khảo cho các bài viết tiếp theo.
CobaltStrike – Reallife APT Attack hay chỉ là diễn tập?

CobaltStrike – Reallife APT Attack hay chỉ là diễn tập?

CobaltStrike chắc chẳng phải cái tên xa lạ gì trong giới Security đặc biệt là với các Malware Reseachers. Gần đây các nhóm APT sử dụng CobaltStrike khá phổ biến để tấn công các đối tượng được chúng nhắm đến. Trong khuôn khổ bài blog này, chúng tôi không đi sâu vào kĩ thuật phân tích loại mã độc này như thế nào mà chỉ đưa ra phân tích, nhận định về 1 case thực tế vừa mới bắt gặp.

 
Phân tích một chiến dịch phát tán mã độc Lokibot

Phân tích một chiến dịch phát tán mã độc Lokibot

Lokibot là dòng mã độc chuyên nhắm đến các tổ chức tài chính - ngân hàng trên toàn thế giới. Dòng mã độc này từng hoạt động khá mạnh ở Việt Nam trong khoảng đầu năm 2019. Bài viết là một phân tích về mẫu mã độc này mà tôi có được trong quá trình giám sát.

 

Liên hệ

Name
Email
Phone
Message