![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
Hướng Dẫn Hạn Chế Quyền Thực Thi và Cấu Hình Không Mở Tự Động Các Tập Tin Nguy Hiểm trên Windows và Linux
Bài vết này cung cấp hướng dẫn chi tiết về cách hạn chế quyền thực thi và cấu hình hệ điều hành để không mở tự động các loại tập tin nguy hiểm như LNK, HTA, EXE, và JAR. Các bước thực hiện được trình bày rõ ràng cho cả hai hệ điều hành Windows và Linux, bao gồm sử dụng Group Policy, Software Restriction Policies, AppArmor, SELinux, và cấu hình các tính năng AutoPlay và auto-mount.
Giới thiệu về các định dạng tệp tin độc hại: LNK, HTA, EXE và JAR
Trên internet ngày nay, các tin tặc thường tận dụng các lỗ hổng trong các định dạng tệp tin phổ biến để thực hiện các cuộc tấn công mạng. Dưới đây là một số định dạng tệp tin phổ biến và cách chúng có thể được sử dụng như một công cụ để xâm nhập vào hệ thống:
Tập tin LNK:
- Lỗ hổng: Khi người dùng mở tập tin LNK, nó thực thi tập tin HTA.
- Kỹ thuật tấn công: Tin tặc sử dụng tính năng shortcut của Windows để chạy mã độc, thường là tải xuống và thực thi các tập tin khác trên hệ thống một cách tự động.
Tập tin HTA (HTML Application):
- Lỗ hổng: Tập tin HTA có thể chứa mã script nguy hiểm, thường được viết bằng ngôn ngữ script như JavaScript hoặc VBScript.
- Kỹ thuật tấn công: Tin tặc sử dụng HTA để thực thi script độc hại, thường để tải xuống và chạy các tập tin thực thi (.exe) khác trên hệ thống, mà không bị phát hiện bởi các phần mềm bảo mật thông thường.
Tập tin thực thi (.exe):
- Lỗ hổng: Tập tin thực thi (.exe) có thể chứa mã độc, thường là virus, trojan hoặc ransomware, và có thể được thiết kế để thực hiện các hành động không mong muốn trên hệ thống của nạn nhân.
- Kỹ thuật tấn công: Tin tặc sử dụng các tập tin thực thi để kiểm soát hệ thống hoặc đánh cắp thông tin quan trọng từ máy tính nạn nhân.
Tệp JAR (Java Archive):
- Lỗ hổng: Tệp JAR có thể chứa mã độc và được sử dụng để tấn công hệ thống.
- Kỹ thuật tấn công: Tin tặc sử dụng tính năng của Java để thực thi mã độc trong các tệp JAR. Các đoạn mã độc này có thể được thiết kế để thực hiện các hành động như tải xuống và chạy các tập tin thực thi khác trên hệ thống mà không bị phát hiện, làm nghiêm trọng hơn sự xâm nhập vào hệ thống.
Để thực hiện các biện pháp hạn chế quyền thực thi và cấu hình hệ điều hành để không mở tự động các loại tập tin LNK, HTA, JAR và EXE, bạn có thể làm theo các bước sau:
Hạn Chế Quyền Thực Thi Đối Với Các Loại Tập Tin LNK, HTA, EXE và JAR
Trên Windows
-
Sử dụng Group Policy (GPO):
- Mở Group Policy Editor bằng cách nhấn
Windows + R, gõgpedit.msc, và nhấn Enter. - Điều hướng đến User Configuration > Administrative Templates > System.
- Chọn Don't run specified Windows applications.
- Bật chính sách này và thêm
*.lnk,*.hta,*.exe, và*.jarvào danh sách các ứng dụng không được phép chạy. - Áp dụng và lưu thay đổi.
- Mở Group Policy Editor bằng cách nhấn
-
Sử dụng Software Restriction Policies:
- Trong Group Policy Editor, điều hướng đến Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies.
- Nếu chưa có Software Restriction Policies, click chuột phải và chọn Create New Policies.
- Tạo Additional Rules:
- New Path Rule cho
*.lnk,*.hta,*.exe, và*.jar. - Thiết lập Security Level thành Disallowed.
- New Path Rule cho
- Áp dụng và lưu thay đổi.
Trên Linux
-
Sử dụng AppArmor hoặc SELinux:
- Đảm bảo AppArmor hoặc SELinux được cài đặt và bật.
- Tạo profile cho AppArmor để hạn chế quyền thực thi cho các loại tập tin cụ thể.
Ví dụ với AppArmor:
bashsudo apt-get install apparmor-utils sudo aa-genprof /usr/bin/your_applicationVí dụ với SELinux:
- Tạo chính sách cho SELinux để hạn chế quyền thực thi.
bashsudo semanage fcontext -a -t bin_t '/path/to/file' sudo restorecon -v '/path/to/file'
Cấu Hình Hệ Điều Hành Để Không Mở Tự Động Các Loại Tập Tin
Trên Windows
-
Tắt tính năng AutoPlay:
- Mở Control Panel và chọn AutoPlay.
- Bỏ chọn Use AutoPlay for all media and devices.
- Thiết lập từng loại phương tiện (Media) thành Take no action hoặc Ask me every time.
-
Sử dụng Registry Editor:
- Mở Registry Editor bằng cách nhấn
Windows + R, gõregedit, và nhấn Enter. - Điều hướng đến HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
- Tạo một DWORD (32-bit) Value mới tên là NoDriveTypeAutoRun và đặt giá trị thành
0xFFđể tắt hoàn toàn AutoRun.
- Mở Registry Editor bằng cách nhấn
Trên Linux
-
Tắt tính năng tự động mount:
- Chỉnh sửa file /etc/fstab để tắt tính năng tự động mount cho các thiết bị lưu trữ.
- Ví dụ:
fstab/dev/sr0 /mnt/cdrom iso9660 noauto,ro 0 0 -
Cấu hình môi trường Desktop:
- Tắt tính năng tự động mở tệp tin cho các môi trường desktop như GNOME, KDE:
- GNOME:
- Mở Settings > Removable Media.
- Chọn Do Nothing cho tất cả các loại thiết bị.
- KDE:
- Mở System Settings > Removable Devices.
- Bỏ chọn Enable automatic mounting of removable media.
Kiểm Tra và Áp Dụng
- Windows:
- Khởi động lại máy tính hoặc chạy lệnh
gpupdate /forcetrong Command Prompt để áp dụng các chính sách Group Policy.
- Khởi động lại máy tính hoặc chạy lệnh
- Linux:
- Kiểm tra lại cấu hình và khởi động lại dịch vụ liên quan hoặc hệ thống nếu cần thiết.
Những biện pháp này sẽ giúp giảm thiểu nguy cơ bị tấn công thông qua các loại tập tin LNK, HTA, EXE và JAR.
Cảm xúc của bạn?
