Tập Huấn Đối Ứng Với Tấn Công Từ Bên Ngoài: Trận Chiến Kịch Tính Với Hacker

Gần đây, vào ngày 14/11/2024 một buổi tập huấn đầy kịch tính về đối ứng tấn công từ bên ngoài đã diễn ra tại Flinters Việt Nam. Cuộc diễn tập này không chỉ là một bài học kỹ thuật mà còn là một “cuộc chiến” căng thẳng với kẻ tấn công bí ẩn, với sự tham gia của các đội ngũ chủ chốt: Team AdOpe với sự góp mặt của anh Văn_DX, team infra với sự góp mặt của chị Chi_PT, anh Toan_TD ngoài ra còn có sự góp mặt của chị HằngBrse, chị Mikako và các đồng nghiệp từ SepJp – Anh Taeyoung Kim và Anh J Ichihara là đối tác của FV. Cuộc tập huấn đặt ra ba mục tiêu rõ ràng:

1. Thu thập thông tin về các tài nguyên bị ảnh hưởng từ GuardDuty.
2. Đưa ra đối ứng ban đầu theo đúng quy trình khẩn cấp.
3. Điều tra kỹ lưỡng phạm vi tác động và tìm ra nguyên nhân gốc rễ dựa trên các thông tin tại CloudTrail và Athena, thực hiện loại bỏ mọi mối đe dọa tiềm tàng khác.

Khởi Đầu Đầy Bất Ngờ

Mọi thứ bắt đầu vào một buổi chiều tĩnh lặng khi một cảnh báo bảo mật từ GuardDuty xuất hiện, làm dấy lên làn sóng căng thẳng trong toàn bộ văn phòng. Một hành động bất thường trên S3 đã được ghi nhận. Ngay lập tức, infra team cùng với team AdOpe lao vào điều tra. Một cảm giác khẩn trương bao trùm khi các tín hiệu cho thấy cuộc tấn công này không chỉ là thử nghiệm mà có thể gây ra thiệt hại thực sự.

Khi đi sâu vào phân tích, team phát hiện rằng một trong các bucket S3 đã bị mở public access.
Ngay lập tức hành động khẩn cấp được kích hoạt. Các thành viên đã khóa quyền truy cập public và cập nhật policy của bucket để giới hạn IP, ngăn chặn kết nối chỉ trong vài phút. Nỗ lực giảm thiểu thiệt hại trong bối cảnh mơ hồ.

Cuộc Chiến Truy Tìm Hacker

Dù đã kịp thời khóa quyền truy cập, một bầu không khí căng thẳng vẫn bao trùm khi các dấu hiệu cho thấy hacker đã xâm nhập sâu hơn. Một cuộc điều tra toàn diện đã được kích hoạt. Với việc sử dụng Athena và CloudTrail để rà soát mọi hành vi bất thường, qua việc phân tích log, một phát hiện kinh hoàng lộ diện: kẻ tấn công đã sử dụng thông tin từ một tài khoản bị lộ để tạo ra các user, role, và bucket S3 mới. Không chỉ dừng lại ở đó, họ còn khởi chạy một instance EC2 để thực hiện thêm các thao tác tấn công.

Tình thế trở nên cực kỳ căng thẳng khi dấu hiệu cho thấy hacker vẫn còn hoạt động. Ngay lập tức, các thành viên trong team được huy động tối đa để tìm và vô hiệu hóa mọi hành động từ phía kẻ tấn công.

Một bức tường hành động cấp tốc được dựng lên với những biện pháp khẩn cấp:

1. Xóa AccessKey bị rò rỉ và phong tỏa quyền truy cập của tài khoản bị tấn công.
2. Lần theo từng bước của user do hacker tạo ra, kiểm tra hành vi đáng ngờ.
3. Vô hiệu hóa và xóa bỏ toàn bộ các user, role, bucket, và instance mà hacker đã thiết lập.
4. Đánh giá lại các group security, xác nhận rằng không còn điểm yếu nào có thể bị khai thác.

Khoảnh Khắc Căng Thẳng Nhất

Khoảnh khắc căng thẳng nhất đến khi Athena phát hiện ra một chuỗi hành động của hacker ngay trước khi các biện pháp phong tỏa có hiệu lực. Cảm giác hồi hộp tột đỉnh khi mọi người đều chờ đợi xác nhận từ hệ thống rằng mọi dữ liệu và quyền truy cập đều đã được bảo vệ an toàn. Khi các biện pháp đối phó hoàn tất và mọi dấu hiệu nguy hiểm đã bị dập tắt, cả phòng họp vỡ òa trong sự nhẹ nhõm.

Bài Học Từ Cuộc Tập Huấn

Buổi tập huấn khép lại khi FV gửi báo cáo chi tiết cho phía SepJp, đánh dấu kết thúc một thử thách đáng nhớ. Sự cố này không chỉ mang lại kinh nghiệm xử lý sự cố thực tế mà còn là lời nhắc nhở về tầm quan trọng của việc duy trì một môi trường bảo mật mạnh mẽ và luôn sẵn sàng ứng phó với mọi tình huống.

Qua buổi tập huấn này, phía FV đã học hỏi được nhiều kiến thức và kỹ năng quan trọng, giúp củng cố thêm sự tự tin trong việc bảo vệ tài nguyên số. Cảm ơn SepJp đã tạo cơ hội để phía FV được đối mặt với những thử thách thực tế này. Mong rằng trong tương lai, sẽ có thêm nhiều buổi giao lưu và chia sẻ kinh nghiệm quý báu giữa hai bên, cùng nhau xây dựng một hệ sinh thái an ninh mạng vững chắc và an toàn hơn!