Để tăng cường chủ động phòng ngừa các rủi ro do hình thức tấn công trên có thể xảy ra, Chủ tịch UBND huyện yêu cầu các cơ quan, đơn vị đóng trên địa bàn huyện chỉ đạo các bộ phận, cán bộ liên quan thực hiện khẩn trương các nội dung sau:
1. Tuyên truyền, phổ biến sâu rộng cho toàn thể cán bộ trong cơ quan, đơn vị về nguy cơ mất an toàn thông tin do ảnh hưởng của chiến dịch tấn công có chủ đích trên, cũng như khẩn trương nhanh chóng hướng dẫn người sử dụng tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe
2. Triển khai tổ chức theo dõi, giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách sau đây:
Danh sách các tên miền/IP máy chủ điều khiển mã độc (C&C Server)
STT |
C&C |
STT |
C&C |
1 |
adobephotostage.com |
28 |
207.148.12.47 |
2 |
olk4.com |
29 |
149.28.74.41 |
3 |
apple-net.com |
30 |
207.148.78.101 |
4 |
wbemsystem.com |
31 |
149.28.74.149 |
5 |
yahoorealtors.com |
32 |
50.63.202.59 |
6 |
airdndvn.com |
33 |
198.54.117.200 |
7 |
officeproduces.com |
34 |
198.54.117.199 |
8 |
web.adobephotostage.com |
35 |
198.54.117.197 |
9 |
Web.officeproduces.com |
36 |
198.54.117.198 |
10 |
Up.officeproduces.com |
37 |
162.255.119.150 |
11 |
We.officeproduces.com |
38 |
167.88.180.148 |
12 |
Download.officeproduces.com |
39 |
167.88.177.224 |
13 |
geocities.jp |
40 |
167.88.180.3 |
14 |
update.olk4.com |
41 |
45.248.87.14 |
15 |
www.cab-sec.com |
42 |
91.195.240.117 |
16 |
167.88.178.24 |
43 |
103.224.182.250 |
17 |
43.254.217.67 |
44 |
167.88.177.224 |
18 |
154.221.24.47 |
45 |
167.88.178.24 |
19 |
144.202.54.86 |
46 |
185.239.226.19 |
20 |
50.63.202.94 |
47 |
185.239.226.19 |
21 |
50.63.202.67 |
48 |
45.77.209.52 |
22 |
50.63.202.82 |
49 |
167.88.178.118 |
23 |
184.168.221.94 |
50 |
185.239.226.61 |
24 |
184.168.221.82 |
51 |
45.77.184.12 |
25 |
184.168.221.71 |
52 |
167.88.178.118 |
26 |
50.63.202.73 |
53 |
185.239.226.61 |
27 |
45.32.50.150 |
54 |
45.77.184.12 |
Danh sách mã băm (HashMD5)
STT |
Mã băm – MD5 |
1 |
165F8683681A4B136BE1F9D6EA7F00CE |
2 |
9FF1D3AF1F39A37C0DC4CEEB18CC37DC |
3 |
4FE276EDC21EC5F2540C2BABD81C8653 |
4 |
43067F28DC5208D4A070CF3CC92E29FB |
5 |
11ADDA734FC67B9CFDF61396DE984559 |
6 |
08F25A641E8361495A415C763FBB9B71 |
7 |
01D74E6D9F77D5202E7218FA524226C4 |
8 |
6198D625ADA7389AAC276731CDEBB500 |
9 |
9B39E1F72CF4ACFFD45F45F08483ABF0 |
10 |
748DE2B2AA1FA23FA5996F287437AF1B |
11 |
5F094CB3B92524FCED2731C57D305E78 |
12 |
9A180107EFB15A00E64DB3CE6394328D |
13 |
05CF906B750EB335125695DA42F4EAFC |
14 |
F62DFC4999D624D01E94B89946EC1036 |
15 |
CA775717D000888A7F71A5907B9C9208 |
16 |
AA115F20472E78A068C1BBF739C443BF |
17 |
CE78EA4ED30DBDF6BEA66561636298F0 |
18 |
684EE90242C8552561EE58EE66016640 |
19 |
B9C10D6E459061CA6304BCCD7C94A471 |
Hướng dẫn rà quét, xử lý, bóc gỡ mã độc chiến dịch tấn công mạng có chủ đích (APT)
Bước 1. Tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn:
http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe/
– Sau khi truy cập vào đường dẫn trên trình duyệt, công cụ rà quét và gỡ bỏ mã độc APT sẽ tự download về máy tính.
– Click đúp chuột vào công cụ mới tải về để Cài đặt/ chọn “Yes”.
Bước 2: Rà quét và gỡ bỏ mã độc APT:
– Tiến hành “Quét” lần lượt (tick theo hai tùy chọn 1 và 1’ như hình)
Bước 3: Tiến hành ngăn chặn các kết nối đến 54 địa chỉ tên miền/IP máy chủ điều khiển
Cách 1: Cập nhật các luật để ngăn chặn kết nối trên thiết bị mạng (Modem, Router, Firewall) tại hệ thống của cơ quan, đơn vị.
Cách 2: Trên các máy chủ, máy tính cá nhân trong cơ quan, đơn vị bằng cách khai báo tùy chọn ngăn chặn kết nối trên phần mềm tường lửa cá nhân (Windows Firewall) hoặc các chức năng tương ứng tích hợp trong phần mềm AntiVirus cài đặt trên máy tính.
Cách 3: Triển khai phần mềm giám sát An toàn thông tin trong nội bộ cơ quan để giám sát và triển khai ngăn chặn, loại bỏ kết nối đến các địa chỉ trên.
Bước 4. Hướng dẫn kiểm tra mã hash MD5:
a) Download phần mềm tại:
http://www.nirsoft.net/utils/hashmyfiles.zip
b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File -> Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Thực hiện đối chiếu mã MD5 và SHA-1 tương ứng trong Công văn đi kèm và làm bước 2 hướng dẫn gỡ bỏ tệp tin.
Bước 5: Phát hiện mã độc
a) Tắt kết nối mạng trên máy bị nhiễm để cô lập khỏi hệ thống mạng của đơn vị
b) Báo cáo nhanh về UBND huyện;
Liên hệ qua số điện thoại: đ/c Phùng Thế Dũng, CV Phòng VH&TT huyện: 0966 927000
c) Liên hệ Trung tâm qua thông tin sau để hỗ trợ xử lý:
Tổ Ứng cứu xử lý sự cố – Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa để phối hợp xử lý.
Đường dây nóng: 0916.422.583 (đ/c Trần Ngọc Hưng – Trưởng phòng Quản trị hệ thống);
Hộp thư điện tử tiếp nhận báo cáo sự cố: ungcuusuco@thanhhoa.gov.vn.